Samba & Windows、機能詳細比較

通信プロトコル

   サポートする通信プロトコルや認証方式についてであるが、Samba3.0はWindowsのサポートするNTLMv2認証を実装したため、大分Windows Server 2003に近づいた。

---

ユーザ／グループによる容量制限

機能	Samba 3.0	Windows Server 2003
LANMAN認証	○
NTLM認証能	○
NTLMv2認証	○
Kerberos5認証	△ メンバサーバの時 のみ可能	○
セキュアチャネル	○
SMB署名	○
SPNEGO (rfc2478で規定されたSimple and Protected NEGOciation)	○

LANMAN認証

   Windows95などでサポートされている古い認証方式だ。パスワードに大文字小文字の区別がないなどセキュリティ的には問題がある。SambaやWindowsの設定で無効化できるので、古いクライアントが存在しなければ無効化しよう。（Samba3.0では、コンピュータがNTLM認証を行うとLANMAN認証機能が無効化される。）

NTLM認証

   WindowsNT以降でサポートされる認証方式だ。パスワードに大文字小文字の区別があり、14バイトまでのパスワードが利用できる。

NTLMv2認証

   Windows2000以降で利用される認証で、デジタル署名やSPNEGOをサポートしている。セキュリティ強度が増しており、Samba3.0からサポートされた。

   例えばSamba 2.2でPDCを構築したとき、Windows XPからドメインログオンするときはセキュリティオプションで「ドメイン メンバ：常にセキュリティ チャネルのデータをデジタル的に暗号化または署名する」を無効に設定する必要があったが、Samba 3.0からはこの設定が不要になった。

Kerberos5認証

   Samba3.0では、まだKerberos5認証を完全にサポートできていない。認証はAD(ActiveDirecory)ドメインの時にのみ利用可能で、Sambaの場合はドメインメンバとして参加させた場合のみ利用可能だ。Kerberos認証を使う利点は、セキュリティ強度の高さに加え認証の度にDC（ドメインコントローラ）に問い合わせないことである。

   だがSambaの場合PDCとBDCの切り替えが容易にでき、メンバサーバをDCにしたり、LDAPの複製を各拠点において認証の負荷を下げたりと柔軟な構成変更が可能なことで、この弱点を補っている。

ドメイン管理

機能	Samba 3.0	Windows Server 2003
ドメインログオン	○
PDC（プライマリドメインコントローラ）	○
BDC（バックアップドメインコントローラ）	○
ログオンスクリプト	◎ ログオンスクリプトの 動的生成／変更可能	○ 固定スクリプトを 実行可能
移動プロファイル	◎ 読み込み専用 プロファイルもサポート	○
NT4相当のユーザポリシー(NT4/2000/XP)	○	×
Win98相当のグループポリシー(95/98/Me)	○	×
Win2000/2003相当のグループポリシー	×	○
複雑なパスワードの強制	△ 外部モジュールを 使って可能	○
パスワード履歴	○
明示的な片方向の信頼関係	○
推移的な双方向の信頼関係	×	○

ドメインログオン

   複数台のマシンで構成されるドメイン内で、ユーザやグループなどのリソースを統合的に管理するWindowsドメイン管理機能である。ユーザは一度ドメインログオンすることで、ドメイン内のリソース（ファイルやプログラム、プリンタなど）を（シングルサインオンで）利用できる。

PDC機能、BDC機能

   SambaはLDAPサーバと組み合わせてPDC（プライマリドメインコントローラ）とBDC（バックアップドメインコントローラ）が構築できるようになった。同一セグメントにPDCとBDCがあれば負荷分散にもなるし、PDCに障害が起きた時はBDCで認証が可能だ。

ログオンスクリプト

   ドメインにログオンする時、任意のバッチコマンドを実行させることができる。Windowsでは1ユーザに対し一つのコマンドを指定できるが、Sambaの場合はマクロが利用でき、グループやマシン名に依存したコマンドを動的にスクリプト生成するなど、かなり柔軟な運用ができる。

移動プロファイル

   ドメインログオンしたユーザに対し、スタートメニューやデスクトップメニューをサーバに保存しておく機能だ。他のマシンからログインした場合でも同じ環境で使えるし、OSを再インストールした場合でも環境がサーバに保存されているので、便利な機能である。Samba3.0には参照専用のプロファイル機能が用意されており、管理者が設定したプロファイルをユーザに変更させることなく提供することができる。

ユーザ・ポリシー／グループポリシー

   Samba3.0のドメインコントローラは、ドメインプロトコルに関しては「Windows NT4」相当なので、「Win2000/2003相当のグループポリシー」はサポートしていない。

セキュリティポリシー

   ユーザアカウントのセキュリティポリシーに関してもNT4相当のサポートとしており、パスワード履歴などにも対応している。しかし、Windows Server 2003のような複雑なパスワードを強制することなどはできない。 だがこれには「smb.conf」にパスワードチェックプログラムを設定することで対応できる。これはミラクル・リナックス社の有償コンサルティングで提供しているので、興味のある方は問い合わせて欲しい。


図2：Sambaでのセキュリティポリシーの設定

信頼関係

   Samba3.0ではwinbind機能を利用することで「明示的な片方向の信頼関係」が利用できる。しかしながら「推移的な双方向の信頼関係」はサポートしていない。このように書いてしまうとSambaのドメイン機能は十分でないように見えてしまうが、Sambaの良いところは柔軟な運用ができることだ。

   PDCからBDCへの降格、BDCからPDCへの昇格、メンバサーバをBDCへ昇格など設定変更が容易に行えるし、ユーザ管理データベースにLDAPを利用できるので他のアプリケーションとの連携が大変容易にできる。例えば、人事データベースと夜間バッチで連携など、汎用機や大型UNIXとの連携が容易に行えることを理由にSambaを採用しているユーザも多い。