Part III. 詳細な設定方法
Prev		Next

Part III. 詳細な設定方法

Valuable Nuts and Bolts Information

Sambaにはいくつかの必要/不必要な機能が用意されている。以下の節では、Sambaにおける特定の機能について個別に説明している。

Table of Contents

9. Samba 3.xシリーズにおける重要で重大な変更点

重要な Samba-3.2.x の変更点

重要な Samba-3.0.x の変更点

ユーザーとグループの変更
グループマッピングの基本
Passdbの変更
Samba-3.0.23でのグループマッピングの変更
Samba-3.0.23におけるLDAPの変更

10. ネットワークブラウジング

機能と利便性

ブラウジングとは何か?

NetBIOS over TCP/IP
TCP/IPなしのNetBIOS
DNSとActive Directory

どのようにブラウジングは機能するか

ワークグループのブラウジングの設定
ドメインブラウジングの設定
強制的にSambaをマスターにする
Sambaをドメインマスターにする
ブロードキャストアドレスについての注意
複数のインタフェース
リモートアナウンスパラメーターの使用
Remote Browse Syncパラメーターの使用

WINS: The Windows Internetworking Name Server

WINSサーバーの設定
WINS複製
静的なWINSエントリ

役に立つヒント

Windowsのネットワークプロトコル
名前解決の順序

ブラウジングの技術的な概要

Sambaでのブラウジングサポート
問題の解決方法
サブネット間のブラウジング

よくあるエラー

SambaのNetBIOS名前キャッシュのフラッシュ
サーバーリソースがリスト出来ない
"Unable to browse the network"というエラーメッセージが出た。
共有とディレクトリのブラウジングが非常に遅い
不正なキャッシュされた共有参照はネットワークブラウジングに影響する

11. アカウント情報データベース

機能と利便性

下位互換性のあるバックエンド
新しいアカウント格納システム

技術情報

セキュリティに関する重要な注意事項
Microsoft Windows と UNIX の間の、ユーザー識別子のマッピング
分散マシン上の共通のUID/GIDマッピング
LDAPに関するコメント
LDAPディレクトリとWindowsのコンピューターアカウント

アカウント管理ツール

smbpasswdツール
pdbeditツール

パスワードバックエンド

平文
smbpasswd: 暗号化したパスワードデータベース
tdbsam
ldapsam

よくあるエラー

ユーザーがログオンできない

12. グループのマッピング: Microsoft Windows と UNIX

機能と利便性

警告:ユーザー固有のグループ問題
ネストされたグループ: WindowsドメイングループをWindowsローカルグループに追加
管理に関する重要な情報
既定値のユーザー、グループと相対識別子
設定例

設定スクリプト

smb.confにグループを追加するスクリプト例
グループマッピング設定のためのスクリプト

よくあるエラー

グループの追加が失敗する
ワークステーションのPower UsersグループへのDomain Usersの追加

13. リモートとローカル管理:Netコマンド

管理者の作業と手段

UNIXとWindowsのグループ管理

グループアカウントの追加、改名、あるいは削除
グループメンバーシップの操作
ネストされたグループのサポート

UNIXとWindowsのユーザー管理

ユーザーアカウントの追加
ユーザーアカウントの削除
ユーザーアカウントの管理
ユーザーのマッピング

管理ユーザーの権限と権利

信頼関係の管理

マシン信頼アカウント
ドメイン間の信頼関係

セキュリティ識別子(SID)の管理

共有管理

共有の作成、編集と削除
共有のACLの作成と変更
共有、ディレクトリとファイルのマイグレーション(移行)
プリンターの移行

オープンしているファイルの制御

セッションとコネクションの管理

プリンターとADS

Sambaキャッシュの操作

IDMAP UID/SIDマッピングの管理

IDMAPデータベースダンプファイルの作成
IDMAPデータベースダンプファイルのリストア

その他の雑多な操作

14. 識別情報のマッピング(IDMAP)

SambaサーバーのサーバータイプとIDMAP

スタンドアロンSambaサーバー
ドメインメンバーサーバーかドメインメンバークライアント
プライマリドメインコントローラー
バックアップドメインコントローラー

IDMAPバックエンドの使用例

規定値のWinbind TDB
IDMAP_RIDを使うWinbind
Winbindを使ったIDMAPデータのLDAPへの格納
RFC2307bis Schema拡張を使ったADSからのIDMAPとNSSに対するLDAPの使用

15. User Rights and Privileges

権利の管理能力

“net rpc rights”ユーティリティの使用
権限の説明
Windows2000ドメインコントローラーでサポートされている権限

管理者のドメインSID

よくあるエラー

Windowsクライアントの管理が出来る権利と権限は何か?

16. ファイル、ディレクトリと共有のアクセス制御

機能と利便性

ファイルシステムのアクセス制御

Microsoft Windows NTFSとUNIXファイルシステムとの比較
ディレクトリの管理
ファイルとディレクトリのアクセス制御

共有のアクセス制御の定義

ユーザーとグループベースの制御
ファイルとディレクトリに対するパーミッションベースの制御
その他の制御

共有のアクセス制御

共有のパーミッションの管理

Microsoft Windowsのアクセス制御リストとUNIXとの相互運用性

NTセキュリティダイアログを使用したUNIXパーミッションの管理
Samba共有上でのファイルセキュリティの表示
ファイルの所有者の表示
ファイルとディレクトリのパーミッションの表示
ファイルまたはディレクトリのパーミッションの変更
標準的なSambaの“create mask”パラメーターとの相互作用
標準Sambaファイル属性のマッピングの相互関係
Windows NT/200X ACLとPOSIX ACLの制限

よくあるエラー

Publicな共有にユーザーが書き込めない
force userセットでrootとしてファイル操作が完了する
SambaでMicrosoft Wordを使うとファイルの所有者が変更される

17. ファイルとレコードのロッキング

機能と利便性

Opportunistic Lockingの概要

SambaのOplocks制御

設定例

Microsoft Windowsのoplocksとキャッシュ制御

ワークステーションサービスのエントリ
サーバーサービスのエントリ

持続的なデータ破壊

よくあるエラー

locking.tdb のエラーメッセージ
Windows XP上でのMicrosoft Officeファイルセーブ時の問題
XP SP1でネットワーク経由でファイルを消すのに長い時間がかかる

参考文献

18. Securing Samba

機能と利便性

保護対応と問題に関する技術的な議論

ホストベースの保護の使用
ユーザーベースの保護
インタフェース保護の使用
ファイアウォールの使用
IPC$ 共有ベースの拒否の使用
NTLMv2のセキュリティ

Sambaのアップグレード

よくあるエラー

smbclientはローカルホストで動くが、ネットワークは死んでいる
なぜユーザーが他のユーザーのホームディレクトリをアクセスできるのか?

19. ドメイン間の信頼関係

機能と利便性

信頼関係に関する背景情報

ネイティブなMicrosoft Windows NT4の信頼関係の設定

NT4ドメイン信頼関係の作成
NT4ドメイン信頼関係の構築完了
ドメイン間信頼関係の機能

SambaにおけるNT形式のドメイン信頼関係の設定

信頼されるドメインとしてのSamba
信頼するドメインとしてのSamba

Windows 2000との間での、NT4形式のドメイン信頼関係

よくあるエラー

信頼されるドメインからのブラウジングに失敗する
LDAP ldapsamと古いバージョンのsmbldap-toolsに関する問題

20. Microsoft 分散ファイルシステムツリーのホスティング

特徴と利点

よくあるエラー

MSDFSのUNIXパスは大文字小文字を識別する

21. 旧式の印刷サポート

機能と利便性

技術的な序論

クライアントからSambaへの印刷ジョブの処理
印刷に関連する設定パラメーター

簡単な印刷設定

testparmによる設定の検査
手っ取り早い設定の検証

拡張印刷設定

設定の説明詳細

Samba-2.2からの印刷環境

Sambaサーバー上でのポイントアンドプリントによるクライアントドライバー
無効になった [printer$]セクション
[print$]共有の作成
[print$]セクションのパラメーター
[print$]共有ディレクトリ

[print$]へのドライバーのインストール

プリンターの追加ウィザードによるドライバーのインストール
rpcclientを使った印刷ドライバーのインストール

クライアントドライバーのインストール方法

最初のクライアントドライバーインストール
新しいプリンターに対するデバイスモードの設定
追加のクライアントドライバーインストール
常時最初のクライアントからの接続はrootか printer administratorで行う

その他のテクニック

クライアントドライバーのための既定値の印刷操作の設定
大量のプリンターのサポート
Windows NT APWによる新しいプリンターの追加
エラーメッセージ: “異なった名前で接続できない”
ドライバーファイルを集めるときに気をつけること
Sambaとプリンターポート
共通クライアントドライバーの間違った設定の防止

Imprintsツールセット

Imprintsとは何か?
プリンタードライバーパッケージの作成
Imprintsサーバー
クライアントのインストール

ユーザーによるインストールなしにネットワークプリンターを追加する

addprinterコマンド

旧式の印刷システムの、Sambaへの移行

Active DirectoryかLDAPへのプリンター情報の公開

よくあるエラー

rootパスワードを指定したが、アクセスできない
印刷ジョブはスプールディレクトリに入ったが、その後なくなった

22. CUPS印刷環境のサポート

機能と利便性
Overview

基本的なCUPSサポート設定

libcups.soを使ったsmbdとのリンク
CUPSを使う簡単なsmb.confの設定
より複雑なCUPS smb.conf設定

高度な設定

集中スプール対“ピアツーピア”印刷
直接印刷機能:Windowsクライアント上のベンダードライバー
Windowsクライアントドライバーのインストール
application/octet-streamのための“raw”印刷を明示的に有効にする
ドライバーアップロード手法

Postscriptドライバーダウンロードを使う高度に賢い印刷

Windows上でのGDI、UNIX上でのPostScript
Windowsドライバー、GDIとEMF
UNIX印刷ファイル変換とGUIの基礎
PostScriptとGhostscript
Ghostscript: 非Postscriptプリンターに対するソフトウェアRIP
PostScriptプリンター定義(PPD)の仕様
Windows形式のベンダーPPDの使用
非PostScriptプリンターのためにCUPSはPPDを使う

CUPSフィルタリングアーキテクチャ

MIMEタイプとCUPSフィルター
MIMEタイプ変換ルール
フィルタリングの概要
Prefilters
pstops
pstoraster
imagetops と imagetoraster
rasterto [プリンター固有]
CUPSバックエンド
cupsomatic/foomaticの役割
完全な図解
mime.convs
“Raw”印刷
application/octet-stream 印刷
非PostScriptプリンターのためのPostScriptプリンター記述
cupsomatic/foomatic-rip 対 ネイティブなCUPS印刷
フィルタリングチェインの例
CUPSドライバー/PPDの提供元
インタフェーススクリプトを伴う印刷

ネットワーク印刷(Windowsのみ)

WindowsクライアントからNT印刷サーバーへ
クライアント上でのドライバーの実行
サーバー上でのドライバーの実行

ネットワーク印刷(WindowsクライアントとUNIX/Samba印刷サーバー)

WindowsクライアントからCUPS/Samba印刷サーバーへ
Sambaによるジョブファイルの受け取りとCUPSへの引き渡し

ネットワーク PostScript RIP

UNIX上の、非PSプリンターのためのPPD
Windows上の非PostScriptプリンターのためのPPD

CUPSクライアントとしてのWindowsターミナルサーバー (WTS)

“カーネルモード”でのプリンタードライバーの実行は多くの問題を引き起こす
Workarounds Impose Heavy Limitations
CUPS: A “Magical Stone”?
カーネルモードでもPostScriptドライバーは大きな問題はない

ドライバーダウンロードを行うためのCUPSの設定

cupsaddsmb: 不明なユーティリティ
cupsaddsmb用のsmb.confの準備
Windows NT/200x/XP用のCUPS“PostScript Driver”
異なったドライバーファイルの認識
ドライバーファイルの入手
Windows NT/200x/XP用のESP Print Pro PostScriptドライバー
考慮すべき警告
WindowsのCUPS PostScriptドライバー対Adobeドライバー
cupsaddsmbの実行(Quiet Mode)
詳細な結果を表示するcupsaddsmbの実行
cupsaddsmbについて理解する
もしもcupsaddsmbが正しく終了した場合、どのように認識するか
Samba PDCににおけるcupsaddsmb
cupsaddsmbフローチャート
クライアント上でのPostScriptドライバーのインストール
クライアント上での危険なPostScriptドライバー設定を防止する

rpcclientを使ったPostScriptドライバーファイルの手動インストール

rpcclientマニュアルページのチェック
rpcclientマニュアルページの理解
Producing an Example by Querying a Windows Box
adddriverとsetdriverを完了させるための要求事項
15ステップでの手動ドライバーインストール
トラブルシューティング再考

印刷関連の*.tdbファイル

Trivial Database Files
バイナリ形式
*.tdbファイルの喪失
tdbbackupの使用

Linuxprinting.orgからのCUPSプリントドライバー

foomatic-rip と Foomaticの説明
foomatic-ripとFoomatic PPDのダウンロードとインストール

CUPSによるページの課金

Quotasの設定
正しいあるいは不正な課金
Windowsクライアント用のAdobeとCUPS PostScriptドライバー
page_logファイルの形式
存在する欠点
将来の構想
他のアカウントツール

追加の材料

CUPSスプールフィルターの自動削除または保存

CUPS構成の設定の説明
準備

Windowsに接続された印刷へのCUPSからの印刷

より詳細なCUPSフィルタリングチェーン

よくあるエラー

Windows 9x/Meクライアントがドライバーをインストール出来ない
“cupsaddsmb”が、無限にrootパスワードを問い合わせてくる
“cupsaddsmb”か“rpcclient addriver”がエラーを出す
“cupsaddsmb”のエラー
クライアントがSambaプリンターに接続できない
Windows 200x/Xpからの新しいアカウント再接続のトラブル
間違ったユーザーでSambaサーバーに接続されるのを防ぐ
AdobeドライバーからCUPSドライバーにアップグレードする
PDCであるSambaサーバー上で“cupsaddsmb”が使えない
削除されたWindows 200xプリンタードライバーが引き続き表示されている
Windows 200x/XP ローカルセキュリティポリシー
Administratorはすべてのローカルユーザーに対してプリンターをインストールできない
NTクライアント上での印刷の変更、機能の通知
Windows XP SP1
Windows 200x/XP上ですべてのユーザーが印刷オプションを設定出来ない
Windowsクライアント上でのドライバー設定における、多くに共通する失敗
cupsaddsmbが、新しくインストールしたプリンターで動かない
/var/spool/samba/のアクセス許可が、再起動後毎回リセットされる
“lp”という名前の印刷キューが印刷ジョブを間違って扱ってしまう
“cupsaddsmb”に対するAdobe PostScriptドライバーファイルの位置

CUPS印刷プロセスの概要

23. スタッカブルVFSモジュール

機能と利便性

含まれるモジュール

audit
default_quota
extd_audit
fake_perms
recycle
netatalk
shadow_copy

他で入手可能なVFSモジュール

DatabaseFS
vscan
vscan-clamav

24. Winbind: ドメインアカウントの使用

機能と利便性

はじめに

Winbindが提供するもの

対象となるユーザー
外部のSIDの取り扱い

Winbindの動き方

Microsoft Remote Procedure Calls
Microsoft Active Directoryサービス
Name Service Switch
Pluggable Authentication Modules
ユーザーとグループIDの割り当て
結果のキャッシュ保存

インストールと設定

はじめに
用件
テスト

よくあるエラー

NSCDの問題に関する警告
Winbindがユーザーとグループを解決しない

25. 詳細なネットワーク管理

機能と利便性

リモートサーバー管理

リモートデスクトップ管理

NoMachine.Comによるリモート管理
ThinLincを使うリモート管理

ネットワークログオンスクリプトの魔法

ユーザーの干渉なしにプリンターを追加する
ログオン接続の制限

26. システムとアカウントポリシー

機能と利便性

システムポリシーの作成と運用

Windows 9x/ME ポリシー
Windows NT4形式のポリシーファイル
Microsoft Windows 200x/XP Professionalのポリシー

アカウント/ユーザーポリシーの管理

管理ツール

SambaのEditregツールセット
Windows NT4/200x
Samba PDC

システムスタートアップとログオン処理の概要

よくあるエラー

ポリシーが動かない

27. デスクトッププロファイルの管理

その特長と利点

移動プロファイル

プロファイル処理のための Samba の設定
Windows クライアントのプロファイル設定に関する情報
User Profile Hive Cleanup Service
Windows 9x/Me と NT4/200x/XP ワークステーション間でプロファイルを共有する
Windows NT4/200x サーバーから Samba にプロファイルを移行する

必須プロファイル

グループプロファイルの作成と管理

Windows ユーザーのデフォルトプロファイル

MS Windows 9x/Me
MS Windows NT4 Workstation
MS Windows 200x/XP

よくあるエラー

少人数のユーザーやグループのための移動プロファイルの設定
移動プロファイルを使えない
デフォルトプロファイルを変更する
移動プロファイルと NT4 スタイルのドメインポリシーのデバッグ

28. PAM ベースの分散型認証

その機能と利点

技術的な議論

PAM 設定のための文法
システム設定の例
smb.conf の PAM 設定
winbindd.soを使った遠隔 CIFS 認証
pam_smbpass.so を使ったパスワードの同期

よくあるエラー

pam_winbind の問題
Winbind がユーザーとグループを解決してくれない

29. Microsoft Windows ネットワークへのSambaの統合

機能と利便性

背景情報

純粋なUNIX/Linux環境中での名前解決

/etc/hosts
/etc/resolv.conf
/etc/host.conf
/etc/nsswitch.conf

Microsoft Windowsネットワーク内でのような名前解決

NetBIOSネームキャッシュ
LMHOSTSファイル
HOSTSファイル
DNSによる検索
WINSによる検索

よくあるエラー

片方向しかpingが届かない
ネットワーク接続がとても遅い
Sambaサーバー名前変更の問題

30. ユニコード/文字セット

機能と利便性

文字セットとユニコードとは何か

Sambaと文字セット

古い名前からの変換

日本語の文字セット

基本的なパラメーターの設定
個別の実装
Samba-2.2系列からの移行

よくあるエラー

CP850.so が見つからない

31. バックアップテクニック

特徴と利点

バックアップ手段についての議論

BackupPC
Rsync
Amanda
BOBS: Browseable Online Backup System

32. 大きなディレクトリの取扱い

33. 詳細設定のテクニック

複数のサーバーのホスティング
複数仮想サーバーの性質(Personalities)
複数の仮想サーバーホスティング

Prev		Next
Chapter 8. Microsoft Windows ネットワーク設定ガイド	Home	Chapter 9. Samba 3.xシリーズにおける重要で重大な変更点