Table of Contents
Sambaをアップデートまたはアップグレードする前に、この章を注意深く読んでほしい。ここにはとても重大か、とても重要な情報のみが書いてある。包括的な変更記録とガイダンス情報はSambaのアップデートとアップグレードの章にある。
以下の記述は、特にSamba 3.0.23からSamba 3.0.25c(あるいはより最新のSamba 3.0.25の更新版)に関連する。Sambaは常に変化しているプロジェクトである。3.0.xシリーズ中での変更点は、この文書中で記述されている。Upgrading from Samba-2.x to Samba-3.0.25を参照のこと。
時々、HOWTO文書の、新しい、あるいは変更された機能の影響を反映するために更新すべき部分を指示するのが難しいことがある。あるいは別の時点では、この文書を再構成することが必要であることが明白になる。
近年では、Samba のユーザも Samba Wiki構築の推進に加わった。新しく作成される Samba ドキュメントは、すべてここに集約される予定である。Wikiは規模の大きなコミュニティからの投稿に適していて、よりいっそう最新情報を提供できることを期待している。そのすばらしい夢が実現して、十分な価値が出てくるまでは、このHOWTO文書を維持管理することは必要である。この章では、このHOWTO文書の主要部分が再構成されるか変更される時点までの間での主要な変更点を文書化する。
この章は、Samba 3.0.23リリースでHOTWOに加わった。ここにはSambaソースコードリリース一式中に含まれるWHATSNEW.txt
ファイル中で提供されているたくさんの注意点を含んでいる。
マップされていないユーザとグループアカウントのみに影響する変更点はここで文書化されている。
ユーザとグループに対する内部管理ルーチンは割り当てられた相対識別子(RID)の重複を防ぐために書き直された。過去では、net groupmap
コマンド又はnet rpc vampire
コマンドでnet rpc vampire
を実行してWindowsドメインをSambaドメインにマイグレートすることによって、手動でUnixグループにマッピングするときに問題が発生する可能性があった。
マップされていないユーザは、今回からS-1-22-1
ドメイン中のSIDが割り当てられ、マップされていないグループはS-1-22-2
ドメイン中のSIDを割り当てられる。以前はSambaサーバ上のSAM内のRIDを割り当てていた。ドメインコントローラにとって、これは、メンバサーバかスタンドアロンサーバ上のようなドメインSIDの権限の配下にあり、これはローカルSAM(net getlocalsid
マニュアルページを参照)の権限下にあった。
結果は、アップグレードされたSambaドメインコントローラ上の、あるマップされていないユーザ又はグループは新しいSIDを割り当てられることになる。Windowsセキュリティ記述子中に名前というかSIDが格納されるので、これは、そのユーザがたとえば、SambaファイルサーバからローカルのWindowsクライアントNTFSパーティションにファイルがコピーされた場合、もはやリソースにアクセスできないという現象を引き起こす。Sambaサーバ上自身で格納された任意のファイルは、UNIXがUNIXのGIDを格納し、権限の検査にSIDを使わないために引き続きアクセスできる。
変更を図示するのに例題が役立つ:
developersという名前のグループがありそのUNIX GIDが782だとする。この場合、このグループはSambaのグループマップテーブル中には存在しない。このグループがACLエディタ中に現れることは全く通常通りである。Samba-3.0.23より前では、グループSIDはS-1-5-21-647511796-4126122067-3123570092-2565
として表示される。
Samba-3.0.23のリリースから、グループSIDはS-1-22-2-782
のように表示されるようになった。任意の、Windows NTFSパーティション上に格納されるファイルに付随するセキュリティ記述子は、ユーザがS-1-5-21-647511796-4126122067-3123570092-2565
グループのメンバでない場合、グループパーミッションベースのアクセスを許可されない。このグループSIDがS-1-22-2-782
で、ユーザトークン中に表示されないという理由で、たとえ両方のSIDが同じUNIXグループを参照するという観点においても、Windowsは認証に失敗する。
Samba 3.0.23より前での回避方法は、グループdevelopersがS-1-5-21-647511796-4126122067-3123570092-2565
というSIDを示すグループマップエントリを手動で作成することである。Samba-3.0.23のリリースから、この回避方法は不要になった。
Samba 3.0.xシリーズの3.0.23より前のリリースでは、Domain Admins, Domain Users, Domain Guests
というWindowsドメイングループに対するグループマッピングは自動的に作成された。Samba-3.0.23から、これらのマッピングはSamba管理者によって作成されなければならないようになった。これが失敗すると、正しい認証と、有効なドメインユーザの認識に失敗する結果となる。これが起きた場合、ユーザはWindowsクライアントにログオンできなくなる。
グループマッピングは、SambaサーバがPDC/BDCとして動作している時にのみ重要である。スタンドアロンサーバはグループマッピングを必要としない。
以下のマッピングが必要である:
Table 9.1. 基本的なドメイングループのマッピング
Domain Group | RID | UNIXグループ例 |
---|---|---|
Domain Admins | 512 | root |
Domain Users | 513 | users |
Domain Guests | 514 | nobody |
POSIX(UNIX)グループがLDAP内に格納される場合、それぞれdomadmins, domusers,domguests
と指定すると便利である(訳注:やや意訳です)。
グループマッピングに関するさらなる情報はグループマッピング: Microsoft Windows と UNIXを参照のこと。
もはやpassdb backendパラメータは、複数のpassdbバックエンドを連続して設定できない。SQLとXML passdbバックエンドもSamba-3.0.23のリリースから取り除かれた。外部のSQL passdb サポートについてのより詳細な情報はpdbsqlページを参照のこと。