PR

Samba & Windows、機能詳細比較

2004年12月14日(火)
小田切 耕司

通信プロトコル


   サポートする通信プロトコルや認証方式についてであるが、Samba3.0はWindowsのサポートするNTLMv2認証を実装したため、大分Windows Server 2003に近づいた。
ユーザ/グループによる容量制限
機能
Samba 3.0
Windows Server 2003
LANMAN認証

NTLM認証能

NTLMv2認証

Kerberos5認証

メンバサーバの時
のみ可能


セキュアチャネル

SMB署名

SPNEGO
(rfc2478で規定されたSimple and Protected NEGOciation)


LANMAN認証


   Windows95などでサポートされている古い認証方式だ。パスワードに大文字小文字の区別がないなどセキュリティ的には問題がある。SambaやWindowsの設定で無効化できるので、古いクライアントが存在しなければ無効化しよう。(Samba3.0では、コンピュータがNTLM認証を行うとLANMAN認証機能が無効化される。)


NTLM認証


   WindowsNT以降でサポートされる認証方式だ。パスワードに大文字小文字の区別があり、14バイトまでのパスワードが利用できる。


NTLMv2認証


   Windows2000以降で利用される認証で、デジタル署名やSPNEGOをサポートしている。セキュリティ強度が増しており、Samba3.0からサポートされた。

   例えばSamba 2.2でPDCを構築したとき、Windows XPからドメインログオンするときはセキュリティオプションで「ドメイン メンバ:常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する」を無効に設定する必要があったが、Samba 3.0からはこの設定が不要になった。


Kerberos5認証


   Samba3.0では、まだKerberos5認証を完全にサポートできていない。認証はAD(ActiveDirecory)ドメインの時にのみ利用可能で、Sambaの場合はドメインメンバとして参加させた場合のみ利用可能だ。Kerberos認証を使う利点は、セキュリティ強度の高さに加え認証の度にDC(ドメインコントローラ)に問い合わせないことである。

   だがSambaの場合PDCとBDCの切り替えが容易にでき、メンバサーバをDCにしたり、LDAPの複製を各拠点において認証の負荷を下げたりと柔軟な構成変更が可能なことで、この弱点を補っている。


ドメイン管理

機能
Samba 3.0
Windows Server 2003
ドメインログオン

PDC(プライマリドメインコントローラ)

BDC(バックアップドメインコントローラ)

ログオンスクリプト

ログオンスクリプトの
動的生成/変更可能


固定スクリプトを
実行可能

移動プロファイル

読み込み専用
プロファイルもサポート


NT4相当のユーザポリシー(NT4/2000/XP)

×
Win98相当のグループポリシー(95/98/Me)

×
Win2000/2003相当のグループポリシー
×

複雑なパスワードの強制

外部モジュールを
使って可能


パスワード履歴

明示的な片方向の信頼関係

推移的な双方向の信頼関係
×

ドメインログオン


   複数台のマシンで構成されるドメイン内で、ユーザやグループなどのリソースを統合的に管理するWindowsドメイン管理機能である。ユーザは一度ドメインログオンすることで、ドメイン内のリソース(ファイルやプログラム、プリンタなど)を(シングルサインオンで)利用できる。


PDC機能、BDC機能


   SambaはLDAPサーバと組み合わせてPDC(プライマリドメインコントローラ)とBDC(バックアップドメインコントローラ)が構築できるようになった。同一セグメントにPDCとBDCがあれば負荷分散にもなるし、PDCに障害が起きた時はBDCで認証が可能だ。


ログオンスクリプト


   ドメインにログオンする時、任意のバッチコマンドを実行させることができる。Windowsでは1ユーザに対し一つのコマンドを指定できるが、Sambaの場合はマクロが利用でき、グループやマシン名に依存したコマンドを動的にスクリプト生成するなど、かなり柔軟な運用ができる。


移動プロファイル


   ドメインログオンしたユーザに対し、スタートメニューやデスクトップメニューをサーバに保存しておく機能だ。他のマシンからログインした場合でも同じ環境で使えるし、OSを再インストールした場合でも環境がサーバに保存されているので、便利な機能である。Samba3.0には参照専用のプロファイル機能が用意されており、管理者が設定したプロファイルをユーザに変更させることなく提供することができる。


ユーザ・ポリシー/グループポリシー


   Samba3.0のドメインコントローラは、ドメインプロトコルに関しては「Windows NT4」相当なので、「Win2000/2003相当のグループポリシー」はサポートしていない。


セキュリティポリシー


   ユーザアカウントのセキュリティポリシーに関してもNT4相当のサポートとしており、パスワード履歴などにも対応している。しかし、Windows Server 2003のような複雑なパスワードを強制することなどはできない。 だがこれには「smb.conf」にパスワードチェックプログラムを設定することで対応できる。これはミラクル・リナックス社の有償コンサルティングで提供しているので、興味のある方は問い合わせて欲しい。

Sambaでのセキュリティポリシーの設定
図2:Sambaでのセキュリティポリシーの設定


信頼関係


   Samba3.0ではwinbind機能を利用することで「明示的な片方向の信頼関係」が利用できる。しかしながら「推移的な双方向の信頼関係」はサポートしていない。このように書いてしまうとSambaのドメイン機能は十分でないように見えてしまうが、Sambaの良いところは柔軟な運用ができることだ。

   PDCからBDCへの降格、BDCからPDCへの昇格、メンバサーバをBDCへ昇格など設定変更が容易に行えるし、ユーザ管理データベースにLDAPを利用できるので他のアプリケーションとの連携が大変容易にできる。例えば、人事データベースと夜間バッチで連携など、汎用機や大型UNIXとの連携が容易に行えることを理由にSambaを採用しているユーザも多い。


オープンソース・ソリューション・テクノロジ株式会社

早稲田大学理工学部電気工学科卒業三菱電機計算機製作所に入社し、汎用機、UNIX、Windowsの開発を 経てミラクル・リナックス社へ2001年入社Sambaとは1996年からの付き合い。日本初のSamba解説本を執筆し、Samba日本語版を最初に開 発した。日本Sambaユーザ会の設立にも寄与し、初代代表幹事を務める。日本Webminユーザーズグループの副代表幹事などもつとめ、最近は Linuxコンソーシアムのセキュリティ部会のリーダなどもつとめている。    

連載バックナンバー

Think IT会員サービス無料登録受付中

Think ITでは、より付加価値の高いコンテンツを会員サービスとして提供しています。会員登録を済ませてThink ITのWebサイトにログインすることでさまざまな限定特典を入手できるようになります。

Think IT会員サービスの概要とメリットをチェック

他にもこの記事が読まれています