ツッコミの内容は検索サイトからの検索やサイトのレーティングに影響します。そのため問題があるキーワードを含むと思われるツッコミについては、当方の判断で削除することがあります。予めご了承ください。 なお、コメントspamと判断されたツッコミは自動的に消去されます。ご容赦ください。
【改訂新版】Samba [実践]入門 |
Linux教科書 LPICレベル3 300試験 |
マスタリング Nginx |
実践 パケット解析 第2版 |
改訂版 Sambaのすべて |
アンドキュメンテッド Microsoftネットワーク |
その他の書籍は だめだめ日記のおみせ@本店でどうぞ。
不勉強で知らなかったのですが、understanding users mapping のスレッドで
I tryed to lower dmnadmins privileges by revoking semachineaccountprivilege privilege, but didnt worked, and it user managed to add a machine to the domain correctly.
とか
Domain Admins has privileges because that group already had privileges in windows, and samba understand that
といわれて、あれっと思って試してみました。
確かに、RID=512 (DOMAIN_GROUP_RID_ADMINS)のグループにはデフォルトで管理者権限が付与されてましたです。
ソースを確認すると
/* Add Full Access for Domain Admins if we are a DC */ if ( IS_DC ) { sid_copy( &domadmin_sid, get_global_sam_sid() ); sid_append_rid( &domadmin_sid, DOMAIN_GROUP_RID_ADMINS ); init_sec_ace(&ace[i++], &domadmin_sid, SEC_ACE_TYPE_ACCESS_ALLOWED, map->generic_all, 0); }
みたいな感じ(rpc_server/srv_samr_nt.c)でした。
すみませんです。
Seperate BIND server for Samba 4という記事で、以下のように BIND 9.8 以降では、Samba のデータベースを直接 BIND からアクセスさせることで、Active Directory 統合ゾーンを Samba で実現させるという発言がありました。
In future versions of Samba4, we will support BIND 9.8 and a plugin that will directly read and write our database, to support GSSTSIG dynamic updates and to allow multiple DNS servers in the domain. This will need to be on a real DC.
直前に体調崩したりして、どうなるかと思ったんですが、なんとか本番は香川に行くことができましたです。
今回はいよいよSamba 4が佳境に入ってきたということで、従来はスライド数枚で簡単に説明していたSamba 4の動向を別立てにしてみました。
Samba 4の話を前半にして、後半は皆さんからの質問に答える時間にしてみたんですが、ちょっとうまくいかなかった点もあり、反省しきりです。
後、Sambaの使い方を聞いてみたんですが、単純なファイルサーバとして使っている人が大半ということで、そうなると一体何を話すべきなのか……。毎回ですが、悩みます。
ファイルサーバの機能拡張としては、ACLの活用とか、いくつかあるんですが、やっぱり大抵の方は個人で使うか、もう少し大規模だとしても、複数ユーザで共有できるファイル共有が作れれば十分という方が多いように感じてます。
あと、遅ればせながら、資料をアップしましたので、適宜お使いくださいませ。
このパラメータが作成される発端になった s3:nmbd and browse list fixes のメールなどもみたんですが、やっぱりいまいちこの仕様になった理由が理解できてないです。
nmbd problems with socket addressの経緯も一通り追ったんですが、やっぱり最後にコメントした内容でいい気がするんですが…
いつも混乱するので、メモ。
Samba PDC & Exchange 2000 Serverを見る限り、サポートするみたいです。
一緒にいる人のThinkPad X40のLCDのバックライトがだめになってしまったので、もう一台持ってたジャンクのThinkPad X40(ただしLCDは元気)と交換してみましたです。
ジャンクのほうを分解してLCDをはずしてみたところ。
30分位掛かりましたです。
分解方法は、(IBM、じゃなくて)Lenovoのサイトにあるマニュアルだけで充分でした。マニュアルが完備しているところは本当にありがたいです。
2台とも分解してLCDをはずしたところ。
2台目はちょっと横着して、上部ケースをはずさずにLCDだけはずしちゃいました。
とりあえず、LCDの動作確認をかねて、ケースをはずしたまま、暫定でキーボードをつないだ状態で電源入れてみたところ。
どこを見ても、明確な記載はないのですが、以下のメーリングリストでのコメントやバグレポートに言及があります。
実機でもいろいろ確認しましたが、以下のような感じです。
[2011/02/14 01:59:26.605929, 3] groupdb/mapping.c:510(pdb_default_create_alias) Could not get a gid out of winbind
したがって、非Winbind環境の場合は、
といえます。
Winbind環境では、プラットフォームの/etc/groupファイルに記載されたメンバの情報は参照されないので、注意が必要ということです。
考えてみれば……ですが、Sambaのメーリングリストで紹介されてました。
Here's how we do it. There are a thousand variations on a theme (samba 3.5.6) [homes] path = /data/homes/%D/%S valid users = "@XXXXXX+domain admins", %S read only = No root preexec = /data/Backup/createhomes.sh %D %S Shell script looks like (creates /data/homes/<DOMAINNAME>/<USERNAME>) #!/bin/bash if [ ! -d /data/homes/$1/$2 ]; then mkdir /data/homes/$1/$2 chmod g+s /data/homes/$1/$2 chown $2:"domain admins" /data/homes/$1/$2 chmod 770 /data/homes/$1/$2 /usr/bin/setfacl -m g:"domain admins":rwx /data/homes/$1/$2 /usr/bin/setfacl -m u:"$2":rwx /data/homes/$1/$2 fi exit 0
確かに、root preexec も使えますね。
ようやく某書籍の校正が一段落したんで、squeeze をインストールしてみました。とりあえず apt-get slapd で OpenLDAP サーバをインストールした、まではよかったんですが……
/etc/ldap/slapd.conf ファイルを開こうとしてハマりましたです。うーん、動的構成になっちゃってるのね。
まぁ、それはよしとして、太田さんのLDAP本を読みよみ、設定変更しようとしたんですが、cn=config のパスワードがわかんないというところで超ハマりましたです。
インストール中に設定したパスワードは、あくまで通常の?データベースに対するパスワードのようで……
結局 まいど、LDAPです。その1 に書かれてた
# ldapmodify -Y EXTERNAL -H ldapi:/// dn: olcDatabase={0}config,cn=config ←この行以下3行を入力 add: olcRootPW olcRootPW: {SSHA}XXXXXXXXXXXXXXXXXXXXXXXXXX <Ctrl+D>
でようやく設定できました。
うーん、ちょっと不親切なのか、こっちが見るべきモノをみてないだけなのか、それとも基本的にはこの手の作業はUNIXドメインのソケットでやってね、なのか……
Ubuntu 由来の? pam-config-frameworkを使ってPAM設定ファイルの制御を行うのがデフォルトですかね。
確かに、各パッケージがちゃんとこのお作法に従った設定ファイルを作成する前提であれば、手作業で設定するよりもかなり楽かも知れませんです。
CUPSを有効にしてコンパイルしたSambaを使っているが、CUPSサーバ自体は起動していない場合、Sambaが毎回以下のようなログを出力します。
Feb 18 17:39:01 virtualbox smbd[27907]: [2011/02/18 17:39:01, 0] printing/print_cups.c:cups_connect(69) Feb 18 17:39:01 virtualbox smbd[27907]: Unable to connect to CUPS server localhost:631 - Connection refused Feb 18 17:39:01 virtualbox smbd[27907]: [2011/02/18 17:39:01, 0] printing/print_cups.c:cups_connect(69) Feb 18 17:39:01 virtualbox smbd[27907]: Unable to connect to CUPS server localhost:631 - Connection refused
こういう場合の対処法を聞かれたので、[Samba] Unable to connect to CUPS server localhost:631 - Connection refusedで答えておきました。
これ以外の方法もあるとは思いますが、わたし的には
printing = bsd
にして、
touch /etc/printcap
しておきます。
なんとなく、ドメイン環境で使用されるポートについて を見ていて、そういえば 389/udp って本当に使うのっ?と思って調べてみたんですが…
パケットキャプチャしてみると、確かに、使ってました。 ドメイン参加の最初のところで使ってます。
インターネット上の情報とかみても、おなじようなことが言われてます。
先日東西線の日本橋駅で降りて、構内を歩いてたらふと「SAMBA」という文字列が目に留まったんで。
思わず衝動買いしてみましたです。
三種類あって、最初1つだけ買おうかと思ったんですが、三つ同時に買うと割引といわれ、思わず三つ買っちゃいました。
デンマークのお菓子みたいです。なぜ「SAMBA」という名前かは不明……
食べてみると、チョコレートの外装の中は、マシュマロっぽい感じでした。かなり甘いお菓子です。
日本の本家?のWebサイトを見ると、なんかいろいろと書いてある。
「サンバ・フォームキッス 」とカタカナ書きなのね。
_ ribbon [RHEL6も動的構成ですね。今までのやり方が使えなくなりますねえ。]