TOP設計・移行・活用> smb.confの変更




Samba移行術
実践! Samba移行術

第1回:Samba2.2→ Samba3.0への移行
著者:オープンソース・ソリューション・テクノロジ  小田切 耕司
2005/1/17
前のページ  1  2   3  4  次のページ
smb.confの変更

   Samba2.xの時のsmb.confをそのままSamba3.0で利用することはできない。表2にSamba3.0で削除されたパラメータをあげたので、これらのパラメータを使用している場合は削除し、必要に応じて代替パラメータを指定する必要がる。また、表3に新しく追加されたパラメータを、表4に規定値や動作(振る舞い)に変更のあったパラメータをあげる。現在指定している内容にあわせてパラメータを見直して欲しい。

重要度:A:対処必須、B:要確認、C:利用を推奨されなかったパラメータ
smb.confパラメータ 重要度 意味 代替機能、
代替パラメータ
character set C UNIX側で利用する文字セット unix charset
client codepage A クライアントで利用するコードページ dos charset
code page directory C コードページファイルの置き場所 iconv関数で文字コード変換
coding system A UNIX側で利用する文字コード unix charset
domain admin group B ドメイン管理者グループの指定 net groupmapで設定
domain guest group B ドメインゲストグループの指定 net groupmapで設定
force unknown acl user C 不明なSIDの自動マッピング  
nt smb support C NT SMBのサポート サポートが必須のため廃止
post script C (NT3.51から)印刷時のPSデータを強制 最近のクライアントでは不要
printer driver B プリンタドライバ名を指定 プリンタドライバの自動ダウンロード方式が変更になったため不要
printer driver file B プリンタドライバを設定したファイルのパス
printer driver location B プリンタドライバをダウンロードするための共有
read size B ファイルの読み込みサイズ 最大値が自動設定
status C ステータスファイルに記録するかどうかを指定 必ず記録する
strip dot C ファイル名内のドッドを削除 削除が不要になった
total print jobs C システム全体で 同時に受け付け可能な印刷ジョブの最大数 無制限に変更
use rhosts C ホームディレクトリにある .rhosts ファイルによる接続許可 セキュリティホールとなるため廃止
valid chars C ファイル名として有効とみなす文字の追加指定 iconv関数で文字コード変換するので不要
vfs options C VFSモジュールのオプションを指定 VFSモジュール:パラメータ=オプションで指定

表2:Samba3.0で削除されたパラメータ


重要度:A:対処必須、B:該当機能を利用するときは重要、C:必要に応じて設定
分類 smb.confパラメータ 重要度 意味
リモート管理
abort shutdown script C マシンの強制シャットダウンスクリプトの設定
shutdown script C マシンのシャットダウンスクリプトの設定
ユーザ/グループの管理
add group script B OSのグループ追加のためのスクリプト
add machine scrip B マシンアカウント追加のためのOSユーザ追加スクリプト
add user to group script B ユーザをグループに追加するためのスクリプト
algorithmic rid base C RIDを割り付けるための基準値
delete group script B OSのグループ削除のためのスクリプト
delete user from group script B ユーザをグループから削除するためのスクリプト
passdb backend A パスワードデータベースの種類を設定
set primary group script B ユーザのプライマリグループ設定のためのスクリプト
認証
auth methods B 認証方法の順序指定
realm B ActiveDirectoryのKerberos認証のためのレルムを指定
プロトコルオプション
client lanman auth B クライアントのLANMAN認証を使用するか(規定値はYes)
クライアントにWin95/98/MeがなければNoにできる
Noにするのがセキュリティ的に推奨値
client NTLMv2 auth B クライアントのNTLMv2認証を使用するか(規定値はNo)
クライアントにWin95/98/Me/NTがなければYesにできる
Yesにするのがセキュリティ的に推奨値
client plaintext auth B クライアントが平分パスワードを送信するか(規定値はYes)
Noにするのがセキュリティ的に推奨値
client schannel C クライアントがセキュアチャネルを使用するか(規定値はAuto)
client signing C クライアントがSMB署名を使用するか(規定値はAuto)
client use spnego C クライアントがSPNEGO(rfc2478で規定されたSimple and Protected NEGOciation)を使用するか(規定値はYes)
disable netbios B NetBIOS機能を無効にする(規定値はnoでNetBIOS有効)
ntlm auth B SambaサーバのNTLM認証を許可するか(規定値はYes)
lanman authとntlm authの両方をNoにすればNTLMv2のみの認証になる。
クライアントにWin95/98/Me/NTがなければこれがセキュリティ的に推奨される
paranoid server security C 問題(バグ)のあるNT4サーバの接続を拒否する
server schannel B netlogon schannelを受け付ける(規定値はauto)
server signing B SambaサーバがSMB署名を強制するか(規定値はAuto)
smb ports C SMBサービスで利用するポート(規定値は139と445)
use spnego C SambaサーバがSPNEGO(rfc2478で規定されたSimple and Protected NEGOciation)を使用するか(規定値はYes)
印刷
cups options B CUPSに渡すオプションを指定する(RAWなど)
max reported print jobs C 表示できる印刷キューの最大数を指定する(規定値は無制限)
UNICODEと文字セット
display charset A SWATなどで使用する表示用文字コード。Unix charsetと同じものを指定する。
dos charset A Windowsクライアントで指定する文字コードを指定。日本語では必ずCP932を指定する。
UNIX charset A UNIX上のファイルシステムで使用する文字コードを指定する。
日本語を利用するならEUCJP-MS、UTF-8、CP932のいずれかを指定する。
SIDとUID/GIDとのマッピング
idmap backend B SIDとUID/GIDとのマッピングを保存するデータベースを指定する。
idmap gid B SIDをGIDにマッピングする時のGIDの範囲を指定
idmap uid B SIDをUIDにマッピングする時のUIDの範囲を指定
winbind enable local accounts C Winbindでローカルユーザ/ローカルグループの管理を行う
winbind nested groups B Windowsと同様のグループの階層化をサポートする(規定値はNo)
winbind trusted domains only C 信頼するドメインのメンバだけの利用に制限する(規定値はNo)
template primary group C ローカルユーザを作成した時のプライマリグループの規定値を指定する
enable rid algorithm C RIDの生成アルゴリズムを有効にする(開発者向けパラメータ)
LDAP
ldap delete dn B Sambaユーザ削除時にLDAPのエントリも削除する(規定値No)
ldap group suffix B LDAPにグループを登録する時のサフィックスを指定する
ldap idmap suffix B LDAPにSIDとUIDのマッピングを保存する時のサフィックスを指定する
ldap machine suffix B LDAPにマシンを登録する時のサフィックスを指定する
ldap passwd sync B Sambaユーザのパスワードを変更したときにLDAPのパスワードも変更する。
ldap replication sleep B SambaがスレーブLDAPを利用している時、更新時の複製を待つ時間をミリ秒単位で設定(規定値は1000ミリ秒)
ldap user suffix B LDAPにユーザを登録する時のサフィックスを指定する
その他、一般設定
preload modules C クライアントの接続スピード向上のために予めロードしておくライブラリモジュールを指定する。
privatedir C パスワードやシークレットファイルの格納ディレクトリを指定

表3:Samba3.0で新しく追加されたパラメータ


重要度:A:対処必須、B:該当機能を利用しているときは重要、C:必要に応じて設定
smb.confパラメータ 重要度 意味
encrypt passwords A 暗号化パスワードの利用。従来Noが規定値だがYesに変更。Yesの利用が望ましい。
mangling method A 8.3形式のSFN(DOS用の短いファイル名)生成方法の指定。従来hashが規定値だったが、hash2に変更
passwd chat B unix password sync=yesとしてOSのパスワードと同期するときのエラーチェックが強化され、従来はpasswd programがpasswd chat通りに応答を返さなくてもSambaパスワードが変更されていたが、エラー時にはSambaパスワードが変更されなくなった。
passwd program B
password server C security=ADS(ActiveDirectoryによる認証)の時にLDAPポートによる認証をサポート
restrict anonymous C サーバへの匿名アクセスを制限。
従来はYes/Noが指定でき、No(匿名接続を拒否しない)が規定値だったが、0,1,2の3つの値から選択できるようになった。
Windowsのレジストリ
HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Control
\LSA\RestrictAnonymous
と同じ意味を持ち、0は匿名接続を許可、1は匿名接続を拒否、2はWin2000/XP/Samba以外の接続を拒否
security B security=ADS(ActiveDirectoryによる認証)をサポート
strict locking B 従来はファイルのロックはアプリケーションまかせ(No)であったが、強制ロック(Yes)が規定値になった。
winbind cache time C 結果のキャッシュ保存時間の規定値が15秒から300秒へ変更
winbind uid B idmap uidパラメータに置き換え
winbind gid B idmap gidパラメータに置き換え

表4:Samba3.0で規定値や動作(振る舞い)に変更のあったパラメータ

前のページ  1  2   3  4  次のページ


オープンソース・ソリューション・テクノロジ株式会社 小田切 耕司
著者プロフィール
オープンソース・ソリューション・テクノロジ株式会社
小田切 耕司

早稲田大学理工学部電気工学科卒業三菱電機計算機製作所に入社し、汎用機、UNIX、Windowsの開発を経てミラクル・リナックス社へ2001年入社Sambaとは1996年からの付き合い。日本初のSamba解説本を執筆し、Samba日本語版を最初に開発した。日本Sambaユーザ会の設立にも寄与し、初代代表幹事を務める。日本Webminユーザーズグループの副代表幹事などもつとめ、最近はLinuxコンソーシアムのセキュリティ部会のリーダなどもつとめている。


INDEX
第1回:Samba2.2→ Samba3.0への移行
  Samba 2.xとSamba 3.0
smb.confの変更
  パスワードデータベースの変換
  ファイルシステム(ファイル名)の変換