利用環境に合わせたパラメーター

Idmap config backendパラメーターの設定

　今回はWinbindを使ったID生成、タイムスタンプ、OpenLDAPのログ、インデックスパラメーターについて紹介します。

　WinbindとはSambaの追加機能で、Sambaサーバー上に利用可能なユーザーアカウントが無いユーザーがアクセスした場合に、Windowsドメインなどから取得したユーザーアカウント情報を元に共有へアクセスさせます。CentOS5.2ではsmbサービスとは別にwinbindサービスとして動作しています。Sambaサーバーのドメイン参加時などに必要となる機能です。

　Winbindを利用してActive Directory（以下、AD）のメンバーサーバーになっている場合や信頼関係を結んでいる場合、外部ユーザーがアクセスしているSambaサーバー上には、そのユーザーの登録情報がありません。そのため便宜的にWinbindが外部ユーザーのUID/GIDを自動生成します。

　Linuxのファイルシステム上では、この自動生成されたUID/GIDを元にファイルのオーナーなどを指定しています。しかし、外部ユーザーがアクセスするたびに異なるUID/GID自動生成していては、UID/GIDの数値に違いが生じ、以前保存したファイルにアクセスできないなど、問題が発生してしまいます。

　このような問題を回避するため、生成されるUID/GIDのマッピング情報をidmap config backendパラメーターで設定されたディレクトリに保存して再利用しています。

　また、複数のSambaサーバーがADのメンバーとなっている場合、それぞれのサーバーが別のマッピング情報を保持していると、同じユーザーに対してサーバーそれぞれで異なるUID/GIDを生成してしまい、サーバー間でのデータの移動などに不具合が生じる可能性があります。

　そこでマッピング情報を一元管理するための仕組みも提供しています。idmap config には以下の4種類が指定可能です。

　1つ目が[rid]です。指定方法は図1を参照してください。

　RID (相対識別子) + BASE_RID + LOW RANGE ID = UID/GID

　上記の数式によりUID/GIDを自動生成します。RIDはドメイン内では一意であるため常に同じユーザーからは同じUIDが生成されます。backendパラメーターですが、特に保存はしていません。

　2つ目が[ad]です。これは、RFC2307またはSFUスキーマ拡張されたADに保存されているUID/GID属性を利用します。

　3つ目が[nss]です。ローカルのnss情報をマッピング時に検索します。アカウントの保存先に/etc/passwdを利用している場合はpasswdファイルが、LDAPを利用している場合はLDAP情報が参照されます。

　4つ目が[tdb]です。ローカルファイルのtdbにマッピング情報を保存します。生成されるUIDは指定されたレンジのなかで1個ずつインクリメントされます。Sambaサーバーが複数ある場合は、UIDマッピングがずれてしまうおそれがあります。

　通常のADが1つの環境でのADメンバーサーバーであれば、idmap configのbackendはridを利用します。AD名をEXAMPLEとした場合は図1のような設定がおすすめです。

ドメインを指定したidmap config backendの指定

　上記のように単一のADドメイン構成の場合は1種類のbackend指定で良いのですが、企業合併などで、部門ごとにADがある場合があります。例えばWindows組み込みDomain UsersグループのRID（相対識別子）は常に513です。違うドメインでもWindows組み込みDomain UsersグループのRIDは同じ513となりますので、ドメインが複数ある場合は設定を間違えると同じUID/GIDが生成される可能性があります。

　この問題を回避するために[idmap config]パラメーターにはドメインごとにバックエンドやIDの開始数値を指定でき、ドメインごとに生成されるUID/GIDの範囲をコントロールできるようになりました。この変更はSamba-3.2または3.0.25以降に組み込まれた機能なので、利用中のSambaのバージョンに注意してください。

　この場合の設定は、図1内の行頭が[idmap config EXAMPLE:]とかかれている3行のブロックと同様にrangeやbase_ridを分けたブロックを別のドメイン名で追加してください。

　続いて、タイムスタンプについて説明します。