だめだめ日記

ツッコミの内容は検索サイトからの検索やサイトのレーティングに影響します。そのため問題があるキーワードを含むと思われるツッコミについては、当方の判断で削除することがあります。予めご了承ください。 なお、コメントspamと判断されたツッコミは自動的に消去されます。ご容赦ください。

2002|12|

2003|01|02|03|04|05|06|07|08|09|10|11|12|

2004|01|02|03|04|05|06|07|08|09|10|11|12|

2005|01|02|03|04|05|06|07|08|09|10|11|12|

2006|01|02|03|04|05|06|07|08|09|10|11|12|

2007|01|02|03|04|05|06|07|08|09|10|11|12|

2008|01|02|03|04|05|06|07|08|09|10|11|12|

2009|01|02|05|06|07|08|09|10|11|12|

2010|01|02|03|04|05|06|07|08|09|10|11|12|

2011|01|02|03|04|05|06|07|08|09|10|11|12|

2012|01|05|06|09|10|11|12|

2013|01|02|02|03|08|09|

2014|01|

2015|09|10|11|

2016|01|04|

執筆、翻訳などに関わった書籍類

【改訂新版】Samba [実践]入門

Linux教科書
LPICレベル3 300試験

マスタリング Nginx

実践パケット解析第2版

改訂版 Sambaのすべて

アンドキュメンテッド
Microsoftネットワーク

その他の書籍はだめだめ日記のおみせ＠本店でどうぞ。

2011年02月03日 [長年日記]

■ [Samba]Domain Adminsグローバルグループの能力

不勉強で知らなかったのですが、understanding users mapping のスレッドで

I tryed to lower dmnadmins privileges by revoking
semachineaccountprivilege privilege, but didnt worked,
and it user managed to add a machine to the domain correctly.

とか

Domain Admins has privileges because that group already had
privileges in windows, and samba understand that

といわれて、あれっと思って試してみました。

確かに、RID=512 （DOMAIN_GROUP_RID_ADMINS）のグループにはデフォルトで管理者権限が付与されてましたです。

ソースを確認すると

        /* Add Full Access for Domain Admins if we are a DC */

        if ( IS_DC ) {
                sid_copy( &domadmin_sid, get_global_sam_sid() );
                sid_append_rid( &domadmin_sid, DOMAIN_GROUP_RID_ADMINS );
                init_sec_ace(&ace[i++], &domadmin_sid,
                        SEC_ACE_TYPE_ACCESS_ALLOWED, map->generic_all, 0);
        }

みたいな感じ（rpc_server/srv_samr_nt.c）でした。

すみませんです。

[ツッコミを入れる]

2011年02月04日 [長年日記]

■ [コンピュータ] dnsmasq

こんなの、あるんですねぇ。

Samba のメーリングリストではじめて知りましたです。

■ [Samba]Samba 4 で Active Directory 統合ゾーンが実現!?

Seperate BIND server for Samba 4という記事で、以下のように BIND 9.8 以降では、Samba のデータベースを直接 BIND からアクセスさせることで、Active Directory 統合ゾーンを Samba で実現させるという発言がありました。

In future versions of Samba4, we will support BIND 9.8 and
a plugin that will directly read and write our database, to
support GSSTSIG dynamic updates and to allow multiple DNS servers
in the domain.  This will need to be on a real DC.

■ [Samba]Idmap機構に関するRFP

先日予告がありましたが、Idmap changes in 3.6というメールが流れてます。

結構読み応えあります。時間があったら訳したいです。

[ツッコミを入れる]

2011年02月05日 [長年日記]

■ [Samba]Samba最新動向＆座談会

直前に体調崩したりして、どうなるかと思ったんですが、なんとか本番は香川に行くことができましたです。

今回はいよいよSamba 4が佳境に入ってきたということで、従来はスライド数枚で簡単に説明していたSamba 4の動向を別立てにしてみました。

Samba 4の話を前半にして、後半は皆さんからの質問に答える時間にしてみたんですが、ちょっとうまくいかなかった点もあり、反省しきりです。

後、Sambaの使い方を聞いてみたんですが、単純なファイルサーバとして使っている人が大半ということで、そうなると一体何を話すべきなのか……。毎回ですが、悩みます。

ファイルサーバの機能拡張としては、ACLの活用とか、いくつかあるんですが、やっぱり大抵の方は個人で使うか、もう少し大規模だとしても、複数ユーザで共有できるファイル共有が作れれば十分という方が多いように感じてます。

あと、遅ればせながら、資料をアップしましたので、適宜お使いくださいませ。

オープンソースカンファレンス2011 Kagawa

[ツッコミを入れる]

2011年02月06日 [長年日記]

■ [Samba] nmbd bind explicit broadcast パラメータ

このパラメータが作成される発端になった s3:nmbd and browse list fixes のメールなどもみたんですが、やっぱりいまいちこの仕様になった理由が理解できてないです。

nmbd problems with socket addressの経緯も一通り追ったんですが、やっぱり最後にコメントした内容でいい気がするんですが…

■ [コンピュータ]Windowsのエフェメラルポートの割り当てロジック

いつも混乱するので、メモ。

5000 を超える番号の TCP ポートから接続しようとすると 'WSAENOBUFS (10055)' エラーが表示される
昔のWindowsでは1025 〜 5000がデフォルト。これがポート重複のトラブルの温床になってたっぽい気がする。
Windows 2000以降は、MS08-037をインストールすると、デフォルトがWindows Vista以降と同じ挙動になる。
ただし、MaxUserPortを指定した際の挙動は、Vista以降とは異なり、MS08-037インストール以前と同じ挙動のまま
Windows Vista および Windows Server 2008 では TCP/IP の既定の動的ポート範囲が変更されている
Windows Vista以降では、デフォルトが49152 〜 65535になっている。MaxUserPortは、レンジの幅を指定する役割に変更されており、あまり意味がなくなっている。

■ [Samba] Samba 4 は Exchange Server をサポートする!?

Samba PDC & Exchange 2000 Serverを見る限り、サポートするみたいです。

[ツッコミを入れる]

2011年02月11日 [長年日記]

■ [Samba]Solaris の SMBクライアント

ちょっと調べてみました。

結局 Solaris での対応は、Solaris 11 からなのかしら。

[ツッコミを入れる]

2011年02月12日 [長年日記]

■ [コンピュータ]ThinkPad X40のLCD交換

一緒にいる人のThinkPad X40のLCDのバックライトがだめになってしまったので、もう一台持ってたジャンクのThinkPad X40（ただしLCDは元気）と交換してみましたです。

まずは

LCDをはずしたところジャンクのほうを分解してLCDをはずしてみたところ。

30分位掛かりましたです。

分解方法は、（IBM、じゃなくて）Lenovoのサイトにあるマニュアルだけで充分でした。マニュアルが完備しているところは本当にありがたいです。

ひきつづき

LCDを外したThinkPadが2台 2台とも分解してLCDをはずしたところ。

2台目はちょっと横着して、上部ケースをはずさずにLCDだけはずしちゃいました。

そして

ケースを外したまま起動確認中とりあえず、LCDの動作確認をかねて、ケースをはずしたまま、暫定でキーボードをつないだ状態で電源入れてみたところ。

[ツッコミを入れる]

2011年02月13日 [長年日記]

■ [その他]GNU Go

試してみました。

確かに fuego よりは、それっぽい石を打ってきますねぇ。

■ [Samba]ローカルグループの操作、アクセス制御について

どこを見ても、明確な記載はないのですが、以下のメーリングリストでのコメントやバグレポートに言及があります。

実機でもいろいろ確認しましたが、以下のような感じです。

非Winbind環境の場合

Windowsからローカルグループの作成、削除を行った場合は、必ずWinbind機構を参照しようとして失敗する。

[2011/02/14 01:59:26.605929,  3]  groupdb/mapping.c:510(pdb_default_create_alias)

  Could not get a gid out of winbind

メンバ操作を行った場合、結果は記録されるが、UNIX上から参照できず、valid usersパラメータなどでのアクセス制御にも反映されない。

したがって、非Winbind環境の場合は、

ローカルグループの操作はUNIX上で/etc/groupファイルを編集するなどして行う
valid usersパラメータなどでは、/etc/groupファイル上のグループ名を指定する必要がある

といえます。

Winbind環境の場合

Windowsからローカルグループの作成、削除を行った場合は、必ずWinbind機構内部でグループが作成され、保持される。

メンバ操作もWinbind機構内部で保持されたグループに対して行われる。

アクセス制御では、Winbind機構が認識するグループのみが有効である。したがって、valid usersなどでは、/etc/groupのグループ名ではなく、ローカルグループ名を記載する必要がある

Winbind環境では、プラットフォームの/etc/groupファイルに記載されたメンバの情報は参照されないので、注意が必要ということです。

[ツッコミを入れる]

2011年02月20日 [長年日記]

■ [Samba]PAM以外の方法でホームディレクトリを自動作成する

考えてみれば……ですが、Sambaのメーリングリストで紹介されてました。

[Samba] Not sure I understand when add user script is called

Here's how we do it.  There are a thousand variations on a theme (samba 3.5.6)

[homes]
        path = /data/homes/%D/%S
        valid users = "@XXXXXX+domain admins", %S
        read only = No
        root preexec = /data/Backup/createhomes.sh %D %S

Shell script looks like (creates /data/homes/<DOMAINNAME>/<USERNAME>)

#!/bin/bash

if [ ! -d /data/homes/$1/$2 ]; then
        mkdir /data/homes/$1/$2
        chmod g+s /data/homes/$1/$2
        chown $2:"domain admins" /data/homes/$1/$2
        chmod 770 /data/homes/$1/$2
        /usr/bin/setfacl -m g:"domain admins":rwx /data/homes/$1/$2
        /usr/bin/setfacl -m u:"$2":rwx /data/homes/$1/$2
fi
exit 0

確かに、root preexec も使えますね。

■ [Debian]squeeze の OpenLDAP 初期設定

ようやく某書籍の校正が一段落したんで、squeeze をインストールしてみました。とりあえず apt-get slapd で OpenLDAP サーバをインストールした、まではよかったんですが……

/etc/ldap/slapd.conf ファイルを開こうとしてハマりましたです。うーん、動的構成になっちゃってるのね。

まぁ、それはよしとして、太田さんのLDAP本を読みよみ、設定変更しようとしたんですが、cn=config のパスワードがわかんないというところで超ハマりましたです。

インストール中に設定したパスワードは、あくまで通常の？データベースに対するパスワードのようで……

結局まいど、LDAPです。その1 に書かれてた

# ldapmodify -Y EXTERNAL -H ldapi:///
dn: olcDatabase={0}config,cn=config ←この行以下3行を入力
add: olcRootPW
olcRootPW: {SSHA}XXXXXXXXXXXXXXXXXXXXXXXXXX
<Ctrl+D>

でようやく設定できました。

うーん、ちょっと不親切なのか、こっちが見るべきモノをみてないだけなのか、それとも基本的にはこの手の作業はUNIXドメインのソケットでやってね、なのか……

■ [Debian]squeeze の PAM の設定

Ubuntu 由来の? pam-config-frameworkを使ってPAM設定ファイルの制御を行うのがデフォルトですかね。

確かに、各パッケージがちゃんとこのお作法に従った設定ファイルを作成する前提であれば、手作業で設定するよりもかなり楽かも知れませんです。

本日のツッコミ(全1件) [ツッコミを入れる]

_ ribbon [RHEL6も動的構成ですね。今までのやり方が使えなくなりますねえ。]

2011年02月22日 [長年日記]

■ [Samba]CUPSを使ってないときにCUPSのエラーを抑止したい

CUPSを有効にしてコンパイルしたSambaを使っているが、CUPSサーバ自体は起動していない場合、Sambaが毎回以下のようなログを出力します。

Feb 18 17:39:01 virtualbox smbd[27907]: [2011/02/18 17:39:01, 0]
printing/print_cups.c:cups_connect(69)
Feb 18 17:39:01 virtualbox smbd[27907]:   Unable to connect to CUPS
server localhost:631 - Connection refused
Feb 18 17:39:01 virtualbox smbd[27907]: [2011/02/18 17:39:01, 0]
printing/print_cups.c:cups_connect(69)
Feb 18 17:39:01 virtualbox smbd[27907]:   Unable to connect to CUPS
server localhost:631 - Connection refused

こういう場合の対処法を聞かれたので、[Samba] Unable to connect to CUPS server localhost:631 - Connection refusedで答えておきました。

これ以外の方法もあるとは思いますが、わたし的には