目次
Sambaをアップデートまたはアップグレードする前に、この章を注意深く読んでほしい。 ここにはとても重大か、とても重要な情報のみが書いてある。包括的な変更記録とガイ ダンス情報は Sambaのアップデートとアップグレード の章にある。
以下の記述は、特にSamba 3.0.23からSamba 3.0.25c(あるいはより最新のSamba 3.0.25の更新版) に関連する。Sambaは常に変化しているプロジェクトである。3.0.xシリーズ中での変更点は、 この文書中で記述されている。 Upgrading from Samba-2.x to Samba-3.0.25 を参照のこと。
時々、HOWTO文書の、新しい、あるいは変更された機能の影響を反映するために更新すべき部分を 指示するのが難しいことがある。あるいは別の時点では、この文書を再構成することが必要で あることが明白になる。
近年では、Samba のユーザーも Samba Wiki 構築の推進に加わった。新しく作成される Samba ドキュメントは、すべてここに集約 される予定である。Wikiは規模の大きなコミュニティからの投稿に適していて、より いっそう最新情報を提供できることを期待している。そのすばらしい夢が実現して、 十分な価値が出てくるまでは、このHOWTO文書を維持管理することは必要である。 この章では、このHOWTO文書の主要部分が再構成されるか変更される時点までの間 での主要な変更点を文書化する。
この章は、Samba 3.0.23リリースでHOTWOに加わった。ここにはSambaソースコードリリース
一式中に含まれるWHATSNEW.txtファイル中で提供されているたくさんの
注意点を含んでいる。
マップされていないユーザーとグループアカウントのみに影響する変更点はここで文書化されている。
ユーザーとグループに対する内部管理ルーチンは割り当てられた相対識別子(RID)
の重複を防ぐために書き直された。過去では、net groupmapコマンド
又はnet rpc vampireコマンドで
net rpc vampire
を実行してWindowsドメインをSambaドメインにマイグレートすることによって、
手動でUnixグループにマッピングするときに問題が発生する可能性があった。
マップされていないユーザーは、今回からS-1-22-1ドメイン中の
SIDが割り当てられ、マップされていないグループはS-1-22-2ドメイン
中のSIDを割り当てられる。以前はSambaサーバー上のSAM内のRIDを割り当てていた。
ドメインコントローラーにとって、これは、メンバーサーバーかスタンドアロンサーバー上のような
ドメインSIDの権限の配下にあり、これはローカルSAM(net getlocalsid
マニュアルページを参照)の権限下にあった。
結果は、アップグレードされたSambaドメインコントローラー上の、あるマップされていない ユーザー又はグループは新しいSIDを割り当てられることになる。Windowsセキュリティ 記述子中に名前というかSIDが格納されるので、これは、そのユーザーが たとえば、Sambaファイルサーバーからローカルの WindowsクライアントNTFSパーティションにファイルがコピーされた場合、もはやリソースに アクセスできないという現象を引き起こす。Sambaサーバー上自身で格納された任意のファイル は、UNIXがUNIXのGIDを格納し、権限の検査にSIDを使わないために引き続きアクセスできる。
変更を図示するのに例題が役立つ:
developersという名前のグループがありそのUNIX GIDが782だと
する。この場合、このグループはSambaのグループマップテーブル中には存在しない。
このグループがACLエディター中に現れることは全く通常通りである。Samba-3.0.23より
前では、グループSIDは
S-1-5-21-647511796-4126122067-3123570092-2565として
表示される。
Samba-3.0.23のリリースから、グループSIDはS-1-22-2-782のよう
に表示されるようになった。任意の、Windows NTFSパーティション上に格納されるファイルに付
随するセキュリティ記述子は、ユーザーが
S-1-5-21-647511796-4126122067-3123570092-2565グループ
のメンバーでない場合、グループパーミッションベースのアクセスを許可されない。
このグループSIDがS-1-22-2-782で、ユーザートークン中に
表示されないという理由で、たとえ両方のSIDが同じUNIXグループを参照する
という観点においても、Windowsは認証に失敗する。
Samba 3.0.23より前での回避方法は、グループdevelopers
がS-1-5-21-647511796-4126122067-3123570092-2565という
SIDを示すグループマップエントリを手動で作成することである。Samba-3.0.23
のリリースから、この回避方法は不要になった。
Samba 3.0.xシリーズの3.0.23より前のリリースでは、
Domain Admins, Domain Users, Domain GuestsというWindows
ドメイングループに対するグループマッピングは自動的に作成された。Samba-3.0.23
から、これらのマッピングはSamba管理者によって作成されなければならないように
なった。これが失敗すると、正しい認証と、有効なドメインユーザーの認識に失敗する
結果となる。これが起きた場合、ユーザーはWindowsクライアントにログオンできなくなる。
グループマッピングは、SambaサーバーがPDC/BDCとして動作している時にのみ重要である。 スタンドアロンサーバーはグループマッピングを必要としない。
以下のマッピングが必要である:
表9.1 基本的なドメイングループのマッピング
| Domain Group | RID | UNIXグループ例 |
|---|---|---|
| Domain Admins | 512 | root |
| Domain Users | 513 | users |
| Domain Guests | 514 | nobody |
POSIX(UNIX)グループがLDAP内に格納される場合、それぞれ
domadmins, domusers,domguestsと指定すると
便利である(訳注:やや意訳です)。
グループマッピングに関するさらなる情報は グループマッピング: Microsoft Windows と UNIXを参照のこと。
もはやpassdb backendパラメーターは、複数のpassdbバックエンドを 連続して設定できない。SQLとXML passdbバックエンドもSamba-3.0.23のリリースから取り除 かれた。外部のSQL passdb サポートについてのより詳細な情報は pdbsqlページを参照のこと。