TOP＞比較データ＞ 通信プロトコル

徹底比較!! Linux & Windows ファイルサーバ編 第２回：Samba & Windows、機能詳細比較 著者：オープンソース・ソリューション・テクノロジ  小田切 耕司 2004/12/14

前のページ  1  2   3  4  次のページ

通信プロトコル

サポートする通信プロトコルや認証方式についてであるが、Samba3.0はWindowsのサポートするNTLMv2認証を実装したため、大分Windows Server 2003に近づいた。 機能 Samba 3.0 Windows Server 2003 LANMAN認証 ○ NTLM認証能 ○ NTLMv2認証 ○ Kerberos5認証 △ メンバサーバの時 のみ可能 ○ セキュアチャネル ○ SMB署名 ○ SPNEGO (rfc2478で規定されたSimple and Protected NEGOciation) ○

LANMAN認証

Windows95などでサポートされている古い認証方式だ。パスワードに大文字小文字の区別がないなどセキュリティ的には問題がある。SambaやWindowsの設定で無効化できるので、古いクライアントが存在しなければ無効化しよう。（Samba3.0では、コンピュータがNTLM認証を行うとLANMAN認証機能が無効化される。）

NTLM認証

WindowsNT以降でサポートされる認証方式だ。パスワードに大文字小文字の区別があり、14バイトまでのパスワードが利用できる。

NTLMv2認証

Windows2000以降で利用される認証で、デジタル署名やSPNEGOをサポートしている。セキュリティ強度が増しており、Samba3.0からサポートされた。    例えばSamba 2.2でPDCを構築したとき、Windows XPからドメインログオンするときはセキュリティオプションで「ドメイン メンバ：常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する」を無効に設定する必要があったが、Samba 3.0からはこの設定が不要になった。

Kerberos5認証

Samba3.0では、まだKerberos5認証を完全にサポートできていない。認証はAD(ActiveDirecory)ドメインの時にのみ利用可能で、Sambaの場合はドメインメンバとして参加させた場合のみ利用可能だ。Kerberos認証を使う利点は、セキュリティ強度の高さに加え認証の度にDC（ドメインコントローラ）に問い合わせないことである。    だがSambaの場合PDCとBDCの切り替えが容易にでき、メンバサーバをDCにしたり、LDAPの複製を各拠点において認証の負荷を下げたりと柔軟な構成変更が可能なことで、この弱点を補っている。

ドメイン管理

機能 Samba 3.0 Windows Server 2003 ドメインログオン ○ PDC（プライマリドメインコントローラ） ○ BDC（バックアップドメインコントローラ） ○ ログオンスクリプト ◎ ログオンスクリプトの 動的生成／変更可能 ○ 固定スクリプトを 実行可能 移動プロファイル ◎ 読み込み専用 プロファイルもサポート ○ NT4相当のユーザポリシー(NT4/2000/XP) ○ × Win98相当のグループポリシー(95/98/Me) ○ × Win2000/2003相当のグループポリシー × ○ 複雑なパスワードの強制 △ 外部モジュールを 使って可能 ○ パスワード履歴 ○ 明示的な片方向の信頼関係 ○ 推移的な双方向の信頼関係 × ○

ドメインログオン

複数台のマシンで構成されるドメイン内で、ユーザやグループなどのリソースを統合的に管理するWindowsドメイン管理機能である。ユーザは一度ドメインログオンすることで、ドメイン内のリソース（ファイルやプログラム、プリンタなど）を（シングルサインオンで）利用できる。

PDC機能、BDC機能

SambaはLDAPサーバと組み合わせてPDC（プライマリドメインコントローラ）とBDC（バックアップドメインコントローラ）が構築できるようになった。同一セグメントにPDCとBDCがあれば負荷分散にもなるし、PDCに障害が起きた時はBDCで認証が可能だ。

ログオンスクリプト

ドメインにログオンする時、任意のバッチコマンドを実行させることができる。Windowsでは1ユーザに対し一つのコマンドを指定できるが、Sambaの場合はマクロが利用でき、グループやマシン名に依存したコマンドを動的にスクリプト生成するなど、かなり柔軟な運用ができる。

移動プロファイル

ドメインログオンしたユーザに対し、スタートメニューやデスクトップメニューをサーバに保存しておく機能だ。他のマシンからログインした場合でも同じ環境で使えるし、OSを再インストールした場合でも環境がサーバに保存されているので、便利な機能である。Samba3.0には参照専用のプロファイル機能が用意されており、管理者が設定したプロファイルをユーザに変更させることなく提供することができる。

ユーザ・ポリシー／グループポリシー

Samba3.0のドメインコントローラは、ドメインプロトコルに関しては「Windows NT4」相当なので、「Win2000/2003相当のグループポリシー」はサポートしていない。

セキュリティポリシー

ユーザアカウントのセキュリティポリシーに関してもNT4相当のサポートとしており、パスワード履歴などにも対応している。しかし、Windows Server 2003のような複雑なパスワードを強制することなどはできない。 だがこれには「smb.conf」にパスワードチェックプログラムを設定することで対応できる。これはミラクル・リナックス社の有償コンサルティングで提供しているので、興味のある方は問い合わせて欲しい。

図2：Sambaでのセキュリティポリシーの設定

信頼関係

Samba3.0ではwinbind機能を利用することで「明示的な片方向の信頼関係」が利用できる。しかしながら「推移的な双方向の信頼関係」はサポートしていない。このように書いてしまうとSambaのドメイン機能は十分でないように見えてしまうが、Sambaの良いところは柔軟な運用ができることだ。    PDCからBDCへの降格、BDCからPDCへの昇格、メンバサーバをBDCへ昇格など設定変更が容易に行えるし、ユーザ管理データベースにLDAPを利用できるので他のアプリケーションとの連携が大変容易にできる。例えば、人事データベースと夜間バッチで連携など、汎用機や大型UNIXとの連携が容易に行えることを理由にSambaを採用しているユーザも多い。

前のページ  1  2   3  4  次のページ

著者プロフィール オープンソース・ソリューション・テクノロジ株式会社 小田切 耕司 早稲田大学理工学部電気工学科卒業三菱電機計算機製作所に入社し、汎用機、UNIX、Windowsの開発を経てミラクル・リナックス社へ2001年入社Sambaとは1996年からの付き合い。日本初のSamba解説本を執筆し、Samba日本語版を最初に開発した。日本Sambaユーザ会の設立にも寄与し、初代代表幹事を務める。日本Webminユーザーズグループの副代表幹事などもつとめ、最近はLinuxコンソーシアムのセキュリティ部会のリーダなどもつとめている。

INDEX 第２回：Samba & Windows、機能詳細比較   リソース管理 通信プロトコル   ファイル／プリントサーバ機能   WINS機能

徹底比較!! Linux & Windows ファイルサーバ編 第1回 Sambaを導入する理由 第2回 Linux & Windows、機能詳細比較 特別編 WindowsからSambaへの移行FAQ

関連記事 ： 実践！ Samba移行術 第1回 Samba2.2→ Samba3.0への移行 第2回 NT4.0→Samba3.0への移行（1） 第3回 NT4.0→Samba3.0への移行（2） 第4回 Sambaのユーザ管理 第5回 Sambaドメインに参加