ツッコミの内容は検索サイトからの検索やサイトのレーティングに影響します。そのため問題があるキーワードを含むと思われるツッコミについては、当方の判断で削除することがあります。予めご了承ください。 なお、コメントspamと判断されたツッコミは自動的に消去されます。ご容赦ください。
【改訂新版】Samba [実践]入門 |
Linux教科書 LPICレベル3 300試験 |
マスタリング Nginx |
実践 パケット解析 第2版 |
改訂版 Sambaのすべて |
アンドキュメンテッド Microsoftネットワーク |
その他の書籍は だめだめ日記のおみせ@本店でどうぞ。
map to guest = Bad Uid
なる値が追加されたっぽいです。
これにより、 security = domain|ads
かつ Winbind 機構を有効にしていない環境で、認証自体は成功したが、 Samba サーバ上に対応する Samba ユーザが存在しないという場合に、ゲスト認証として認証させるようになってます。
従来の map to guest = bad user
の場合は、 Samba ユーザが存在しないため、認証拒否となっていました。
本日(2005/09/12)深夜に、「だめだめなめーりんぐりすと」経由で大量のSPAMメールが流れてしまい、すみませんでした m(_"_)m
damedame.monyo.com の方は、それなりに対処してあるので、おかしいなぁと思って、いろいろ調べてみたところ
なんと、http://damedame.sugi.ru/ でアクセスすると、古い「だめだめ日記」(まだSPAM対策してない)にアクセスできて、そこからSPAMメール送ってたことが判明 orz ということで、早速対処しましたです。
その後で、外向けメールサーバをみると、SPAMメールが大量に送信待ちキューにあったので、一度 qmail を停止してから
# cd /var/qmail/queue/mess # rm `grep lensman */* | awk -F: '{print $1}'`
で、未送信のSPAMメールを強引に消してみましたです。
ご迷惑をおかけしました m(_"_)m
考えてみれば当然なのですが、Sambaでドメインを構築して、Windows側のGUIから管理しようとする場合は、ユーザを作成する前に、net groupmap
コマンドを用いて、Domain Admins
、Domain Users
、Domain Guests
のグローバルグループについて、UNIX上のグループとのマッピングを作成しておく必要があります。
Windows側のGUIでは、ドメインのユーザが何らかのグローバルグループに所属していることを暗黙の前提としていますので、これらのグローバルグループが定義されていないと、予期しないエラーが発生します。
OSC 2005 fallの発表の関係で、ちょっと検証してみました。
詳細は、Samba 3.0.20のwinbind nss infoパラメータを参照してくださいませ。
OSC 2005 fallの発表の関係で、ちょっと検証してみました。
詳細は、Samba 3.0.20のacl map full controlパラメータを参照してくださいませ。
OSC 2005 fallの発表の関係で、ちょっと検証してみました。
詳細は、Samba 3.0.20のusername map scriptパラメータを参照してくださいませ。
いつものごとく、ぶっつけ本番になってしまったんですが、なんとかつつがなく終われました。
セミナでも話したとおり、Samba 3.0.20 自体は、内部の非同期化が主な改良点で、外面的な変更点は、それほど多くないのですが、それでも話してると1時間位にはなるんだなという感じでした。
セミナの資料とかは、別途公開されると思いますです。
久々に新宿のほうまでいったので、OSC が終わってから、一緒にいる人と一緒に、ピアノサロンプロイセンに寄ってみました。
場所が変わっちゃいましたが、ピアノや、お店のかたがたは、昔どおり迎えてくれましたです。ほかにお客があまりいらっしゃらなかったので、お店の楽譜をあさって、演奏できそうな歌を適当に歌ってみました。
なお、古いホームページが残っていますが*1、場所が移転になって、住所も変わっていますので注意してくださいませ。
電話番号は昔のままです。
*1 いろいろあって、消したくても消せない状態に陥っているようです orz
いつもいっている合唱団の有志の方が、結婚式にきてくれるとのことでしたので、結婚式で歌う予定の曲を練習させてもらいましたです。
ほとんど一通りさらっただけですが、それでもかなり時間掛かりましたです。うーん、結構歌の部分だけでたっぷり1時間くらい掛かるかも orz
冷蔵庫を覗いたら、さけの冷凍したやつがあったので、お料理の本を見ながら、夕食代わりに適当に作ってみましたです。
さけを解凍してから、白ワインと小麦粉をかけて、少しおいてからなべで塩コショウして炒めるという、至っていい加減な料理でしたが、なんとか食べられたっぽいです*1。
これに、ナスとたまねぎとミックスベジタブルとにんにくを炒めたやつを合わせてみましたです。それから、タルタルソースっぽいものとして、マヨネーズをベースに、たまねぎの刻んだやつと、レモン汁と塩コショウとパセリを適当にいれたやつを作ってみました。
*1 一緒にいる人曰く「おいしい」とのことでしたので
2005/08/20 にリリースされた Samba 3.0.20 のリリースノートの翻訳について、某所の ML にも流したんですが、こちらにも張っておきます。
=============================================================== リリース・アナウンスメント ========================== これは Samba の安定版リリースの最新のものであり、現在確認済のバグを修 正するために、実運用しているSambaサーバで実行すべきリリースとなります。 以前の Samba 3.0.X リリースからみて、これは重要なアップグレードとなり ます。「3.0.15 - 3.0.19 はどうなったか?」の項および重要な変更点につい ての記述に眼を通しておいてください。 Samba 3.0.20 に含まれる新機能は以下のとおり: o 幾つかのWin32 RPCパイプのサポートの追加 o OS/2 クライアントのサポートの改良 o Win32 サービスを管理する「net rpc service」ツールの新登場 o 親ディレクトリの所有者を基に、新しいファイルやディレクトリの所有者 を設定する機能の実現 o 実験的な非同期ファイルI/Oサービスのサポート o Microsoft Print Migratorの完全なサポート o SFUのユーザやグループ属性を保持しているActive Directoryサーバから uidやgidを取得するWinbind IDmapプラグイン(ad)の新規追加 o LinuxのCIFSファイルシステムクライアントを利用する際のPOSIXパス名サ ポートの実装見直し(書き直し) o 非同期winbinddの新登場 o Microsoft Print Migratorのサポート o Windows NTのレジストリファイルI/Oライブラリの新規サポート o 新しいユーザー権利(SeTakeOwnershipPrivilege)の追加 o 「net share migrate」オプションの新規追加 リリース直前に発生した致命的なバグのテストや修正に協力していただいた Samba Test Squadのメンバ、Joerg Pulz/Thomas Bork/Christoph Beyerには特 に感謝します。 3.0.15 - 3.0.19 はどうなったか? =============================== 幾つかの議論を経て、ユーザの要望を満たすには、次期のSamba 3.0のリリー スにおいては多くの変更を実施することになりました。リリース番号を飛ばす ことが、最もオーバーヘッドを少なくする方法として選択されました。3.0.15 から3.0.19のリリースは見送られました。3.0.20の次の安定版リリースは 3.0.21になる予定です。 バージョン番号の変更に関する元々のアナウンスメントは、以下のsambaメー リングリストのアーカイブで確認できます: http://marc.theaimsgroup.com/?l=samba&m=111721010206997&w=2 非同期 Winbind の実装 ===================== 本リリースの winbindd は、ほぼ完全な 非ブロッキング、非同期のリクエス ト/リプライを実現するために、完全に書き直されました。これにより、 winbindd は大規模なドメイン環境や高負荷のネットワーク環境におけるパフォー マンスが大きく向上します。クライアント側のインタフェースおよびコマンド ラインツール(wbinfoなど)の呼び出し形態や文法に変更はありません。ただし、 内部構造が変更されていますので、本リリースに含まれる nss_winbind.so ラ イブラリをインストールすることが必要です。 Microsoft Print Migrator のサポート =================================== Samba 3.0.20 では、Microsoft Print Migrator ツールによる Windows サー バや別の Samba サーバからのプリンタ移行が完全にサポートされています。 プリンタ設定を移行するには、smb.conf 中で「add printer command」パラメー タが適切に設定されている必要があります。このリリースでは、管理者は、新 規(もしくは既存の)Sambaのインストール時に大量に移行する必要があるプリ ンタドライバのマスタのリストを作成しておくことも可能です。 非同期 I/O のサポート ===================== 幾つかのプラットフォームの smbd には実験的な非同期 I/O のサポートが追 加されました。この機能を有効にするには、--with-aio-support という configure オプションをつけて Samba をコンパイルした上で、更に「aio read size」および「aio write size」パラメータの値を 0 以外に設定する必 要があります。これらの設定の詳細については smb.conf(5) のマニュアルペー ジを参照してください。 ======================== ダウンロードに関する詳細 ======================== 伸長した tar アーカイブおよびパッチファイルは GnuPG (ID F17F9772) を用 いて署名されています。ソースコードは以下からダウンロード可能です: http://download.samba.org/samba/ftp/ リリースノートは以下から取得可能です: http://www.samba.org/samba/history/samba-3.0.20.html バイナリパッケージは以下から取得可能です: http://download.samba.org/samba/ftp/Binary_Packages/ Our Code, Our Bugs, Our Responsibility. (https://bugzilla.samba.org/) --Enjoy The Samba Team --------------- 以下、リリースノートから smb.conf のパラメータに関する変更点を転載して おきます。 smb.conf changes ---------------- Parameter Name Action -------------- ------ acl check permissions New acl group control New acl map full control New aio read size New aio write size New enable asu support New inherit owner New ldap filter Removed map to guest Modified (new value added) max stat cache size New min password length Removed printer admin Deprecated username map script New winbind enable local accounts Removed winbindd nss info New
すみません、OSC 2005 fallなどもあって、のびのびになってしまったんですが、やっと招待状の発送準備が整いましたです。
これで事前にやらないといけないことの大物系が、ようやく片付きそうな感じ。
検証した結果とか
このパラメータ(リリースノートにwinbindd nss infoとあるのはスペルミス)は、template
とsfu
という値をとります。デフォルトはtemplate
。
デフォルト値の場合、Winbind機構で作成されるユーザのシェルとホームディレクトリは、おのおのtemplate shell
とtemplate homedir
パラメータの値で一律に指定されます。
winbind nss info = sfu
の場合、これらの値は、対象ユーザの Active Directory 上の UNIX 属性から取得されます。したがって、Winbind機構で作成するユーザ毎に、シェルとホームディレクトリの値を設定することが可能になります。
なお、UNIX 属性は、もともと SFU (Services for UNIX) の NIS サーバ機能のためのもので、NIS サーバ機能をインストールすることによって、拡張されます。
設定を行うには、幾つかの手順を踏む必要があります。
security = ads
」の設定で、ドメインに追加domain
」ではなく「ads
」で参加させる必要があります。
[global] ... winbind nss info = sfu
設定がうまくできていると、以下のような感じで、ユーザ毎に別のシェルとホームディレクトリが指定されます。なお、UNIX 属性には、UID や GID などの属性もあるのですが、これらは反映されません。
$ getent passwd W2003AD2\\samba01 W2003AD2\samba01:x:20000:2000:Samba 01:/home/sv1/samba01:/bin/bash $ getent passwd W2003AD2\\samba02 W2003AD2\samba02:x:20001:2000:Samba 02:/home/sv2/samba02:/bin/tcsh
なお、この設定を行っている場合でも、UNIX 属性が設定されていないユーザについては、従来どおり、template homedir/shell
の設定が用いられます。
これも、ちょっと検証した結果を
とりあえず、smb.conf には、username map
パラメータの代わりに
[global] ... username map script = /usr/local/samba/lib/mapusers.sh
とか指定します(スクリプト名は任意)。
ここで指定したスクリプトは、Windows側から渡されるユーザ名を引数にとり、Samba側にマッピングされるユーザ名を返却する必要があります。
たとえば、
root = Administrator monyo = "TAKAHASHI Motonobu"
という Username Map ファイルとほぼ同等のスクリプトを以下に示します。
#!/bin/sh if [ "$1" == "Administrator" ]; then echo root elif [ "$1" == "TAKAHASHI Motonobu" ]; then echo monyo fi
ただし、このスクリプトでは、Windows側のユーザ名の大文字小文字が区別されます。たとえば、上記のスクリプトの場合、Windows側で「administrator」というユーザでログオンしようとすると失敗します。
こういう大文字小文字同一視の処理は、スクリプト側で責任をもって実装する必要があります。なお、Username Map ファイルの場合、大文字小文字の差異は無視されます。
Solaris 8 の iconv_ja(5) をみてたんですが、これを見る限り、たとえば、EUC-JP と UTF-8 の間では、「ベンダ定義文字、ユーザ定義文字」の変換もできるといってるので、もしかしたら Samba で使えるかなと思ってみたり。
まぁ、要確認ですかね。
確認してみましたが、だめでした
まず、Samba の configure では、IBM850 もしくは CP850 と UCS-2LE との文字コード変換が行えない iconv はだめだめと判断するようですが、Solaris ではこうしたコードセットがないので NG と*1。
さらに Samba で利用する文字コードは、UCS-2LE との変換ができないといけませんが、Solaris では、ほとんどの文字コードが Unicode 系の文字コードとしては UTF-8 との変換しかサポートしてません。日本語はいうにおよばず、いわゆる 8859-n 系以外すべてがそうです。
ということで、結局だめということで orz
Sunの人には伝え(伝わり)ました。
*1 IBM-850というのはあるので、configure を書き換えれば、ここはクリアできますが
5月頃に書いた内容ですが、Webに掲載されてました。
というか、これを知ったのがこじませんせいのサイト経由というあたりが、かなりだめだめかも。
書いてある内容自体は、わたしの素直なきもち、です。
一緒にいる人のびょういんに付き合ったんですが、ちょっと時間が空いたので、佃の方に足を伸ばしてみました。
というか、「佃煮」の「佃」が、中央区佃の「佃」だというのをはじめて知りました orz
ということで、記念に佃煮のお店にいって、佃煮を買ったりしてきたんですが、帰りにふらふらと、リバーシティ21の方に。
で、ワインがいっぱいおいてあるスーパーっぽいお店があったんで、なんとなく入ってみたんですが……
おいてある商品が、なんとなくセレブーな雰囲気だったり。納豆とかでも、高級なやつばっかりとか
ほかにも、お肉とか、いろいろと、普段いってるスーパーと比べると、明らかにランクが数段上というのがいっぱいおいてありましたです。
さすがリバーシティ21というか。
で、チーズ売り場で「ミモレットは某TV番組の影響により品薄となり、入荷未定です」と書いてあったのには、ちょっと笑えましたです。
このパラメータが追加された背景については、 ACL full controlにて言及があります。
現在の Samba の ACL マッピングの実装では、UNIX の RWX を 振るコントロールに位置づけているんですが、これだと読み取りと実行 (R-X) があるファイル、もしくは読み取り + アーカイブ属性 (R-X) があるファイルにWindows 側から書き込み権限をつけると、即フルコントロールとなってしまいます。
といっても、実際に所有権の取得など、なんでもできるかというと、そうでもなかったりします。
もともと、これは NTFS の ACL と POSIX の ACL との実装の違いに起因するものなので、どうやってもどっかにひずみがでてしまうんですが……
acl map full control = No
とすることで、UNIX 上で RWX なファイルの ACL を Windows 側からみると、読み取り、実行、書き込み 権限が付与された(フルコントロールや変更権限は付与されていない)ファイルとして認識されるようになります。
逆にいうと、どういう設定を行っても、変更やフルコントロール権限を与えることができない(与えても有効にならない)ということを意味します。
ユーザー権利はWindows特有の機能で、SambaではSamba 3.0.11で新規追加された機能です。
ユーザー権利のうち「ファイルとその他のオブジェクトの所有権の取得」に相当する権利が追加されたというのが、Samba 3.0.20の新機能になります。
Sambaドメインを構成した上で、SeTakeOwnershipPrivilege
権利をドメインのユーザに割り当てることで、そのユーザがドメインに所属するWindows XP Professional上から、Sambaサーバ上にあるファイルの所有権取得を行えるようになることを確認しています。
じょなさんで、2時間ほど粘って、大体書き終え。
というか、SUSEのGUIがちゃんと動けば、もう終わってるんだけど。
UIとしてのできはそれなりにいいと思うんですが、GUI的に反映されているように見えて、実ファイルに反映されないというバグはなんとかしてほしいなぁ。
新機能といえば、新機能ですが、要はWindowsマシン上のサービスが、UNIX側から管理できるようになったということです。
利用可能なオプションの一覧は、以下のとおり
# net rpc service net rpc service list View configured Win32 services net rpc service startStart a service net rpc service stop Stop a service net rpc service pause Pause a service net rpc service resume Resume a paused a service net rpc service status View the current status of a service
サービスの列挙は、以下のような感じ
$ net rpc service list -I 192.168.135.1 -U test1%test1 ACS "ACU Configuration Service" Alerter "Alerter" ALG "Application Layer Gateway Service" ...
わたしの環境では、Windows XP Professionalマシン上のサービスの列挙、停止、開始ができることを確認しています。
_ 一緒にいる人 [「FORTRAN」と書くか、「Fortran」と書くか。悩ましいところかも(わたしは前者だなぁ)。]
_ こじま [隊長! こんなものをみつけました。 http://www.faqs.org/faqs/fortran-faq/]
_ 一緒にいる人 [こじまたいちょ〜!一緒にいる人は“FORTRAN”でございました。電波屋時代に使っていたのはF77なのでございますっ..]