実践!Samba移行術
smb.confの変更
smb.confの変更
Samba2.xの時のsmb.confをそのままSamba3.0で利用することはできない。表2にSamba3.0で削除されたパラメータをあ げたので、これらのパラメータを使用している場合は削除し、必要に応じて代替パラメータを指定する必要がる。また、表3に新しく追加されたパラメータを、 表4に規定値や動作(振る舞い)に変更のあったパラメータをあげる。現在指定している内容にあわせてパラメータを見直して欲しい。
重要度:A:対処必須、B:要確認、C:利用を推奨されなかったパラメータ
| smb.confパラメータ | 重要度 | 意味 | 代替機能、 代替パラメータ |
| character set | C | UNIX側で利用する文字セット | unix charset |
| client codepage | A | クライアントで利用するコードページ | dos charset |
| code page directory | C | コードページファイルの置き場所 | iconv関数で文字コード変換 |
| coding system | A | UNIX側で利用する文字コード | unix charset |
| domain admin group | B | ドメイン管理者グループの指定 | net groupmapで設定 |
| domain guest group | B | ドメインゲストグループの指定 | net groupmapで設定 |
| force unknown acl user | C | 不明なSIDの自動マッピング | |
| nt smb support | C | NT SMBのサポート | サポートが必須のため廃止 |
| post script | C | (NT3.51から)印刷時のPSデータを強制 | 最近のクライアントでは不要 |
| printer driver | B | プリンタドライバ名を指定 | プリンタドライバの自動ダウンロード方式が変更になったため不要 |
| printer driver file | B | プリンタドライバを設定したファイルのパス | |
| printer driver location | B | プリンタドライバをダウンロードするための共有 | |
| read size | B | ファイルの読み込みサイズ | 最大値が自動設定 |
| status | C | ステータスファイルに記録するかどうかを指定 | 必ず記録する |
| strip dot | C | ファイル名内のドッドを削除 | 削除が不要になった |
| total print jobs | C | システム全体で 同時に受け付け可能な印刷ジョブの最大数 | 無制限に変更 |
| use rhosts | C | ホームディレクトリにある .rhosts ファイルによる接続許可 | セキュリティホールとなるため廃止 |
| valid chars | C | ファイル名として有効とみなす文字の追加指定 | iconv関数で文字コード変換するので不要 |
| vfs options | C | VFSモジュールのオプションを指定 | VFSモジュール:パラメータ=オプションで指定 |
表2:Samba3.0で削除されたパラメータ
重要度:A:対処必須、B:該当機能を利用するときは重要、C:必要に応じて設定
| 分類 | smb.confパラメータ | 重要度 | 意味 |
| リモート管理 | |||
| abort shutdown script | C | マシンの強制シャットダウンスクリプトの設定 | |
| shutdown script | C | マシンのシャットダウンスクリプトの設定 | |
| ユーザ/グループの管理 | |||
| add group script | B | OSのグループ追加のためのスクリプト | |
| add machine scrip | B | マシンアカウント追加のためのOSユーザ追加スクリプト | |
| add user to group script | B | ユーザをグループに追加するためのスクリプト | |
| algorithmic rid base | C | RIDを割り付けるための基準値 | |
| delete group script | B | OSのグループ削除のためのスクリプト | |
| delete user from group script | B | ユーザをグループから削除するためのスクリプト | |
| passdb backend | A | パスワードデータベースの種類を設定 | |
| set primary group script | B | ユーザのプライマリグループ設定のためのスクリプト | |
| 認証 | |||
| auth methods | B | 認証方法の順序指定 | |
| realm | B | ActiveDirectoryのKerberos認証のためのレルムを指定 | |
| プロトコルオプション | |||
| client lanman auth | B | クライアントのLANMAN認証を使用するか(規定値はYes) クライアントにWin95/98/MeがなければNoにできる Noにするのがセキュリティ的に推奨値 |
|
| client NTLMv2 auth | B | クライアントのNTLMv2認証を使用するか(規定値はNo) クライアントにWin95/98/Me/NTがなければYesにできる Yesにするのがセキュリティ的に推奨値 |
|
| client plaintext auth | B | クライアントが平分パスワードを送信するか(規定値はYes) Noにするのがセキュリティ的に推奨値 |
|
| client schannel | C | クライアントがセキュアチャネルを使用するか(規定値はAuto) | |
| client signing | C | クライアントがSMB署名を使用するか(規定値はAuto) | |
| client use spnego | C | クライアントがSPNEGO(rfc2478で規定されたSimple and Protected NEGOciation)を使用するか(規定値はYes) | |
| disable netbios | B | NetBIOS機能を無効にする(規定値はnoでNetBIOS有効) | |
| ntlm auth | B | SambaサーバのNTLM認証を許可するか(規定値はYes) lanman authとntlm authの両方をNoにすればNTLMv2のみの認証になる。 クライアントにWin95/98/Me/NTがなければこれがセキュリティ的に推奨される |
|
| paranoid server security | C | 問題(バグ)のあるNT4サーバの接続を拒否する | |
| server schannel | B | netlogon schannelを受け付ける(規定値はauto) | |
| server signing | B | SambaサーバがSMB署名を強制するか(規定値はAuto) | |
| smb ports | C | SMBサービスで利用するポート(規定値は139と445) | |
| use spnego | C | SambaサーバがSPNEGO(rfc2478で規定されたSimple and Protected NEGOciation)を使用するか(規定値はYes) | |
| 印刷 | |||
| cups options | B | CUPSに渡すオプションを指定する(RAWなど) | |
| max reported print jobs | C | 表示できる印刷キューの最大数を指定する(規定値は無制限) | |
| UNICODEと文字セット | |||
| display charset | A | SWATなどで使用する表示用文字コード。Unix charsetと同じものを指定する。 | |
| dos charset | A | Windowsクライアントで指定する文字コードを指定。日本語では必ずCP932を指定する。 | |
| UNIX charset | A | UNIX上のファイルシステムで使用する文字コードを指定する。 日本語を利用するならEUCJP-MS、UTF-8、CP932のいずれかを指定する。 |
|
| SIDとUID/GIDとのマッピング | |||
| idmap backend | B | SIDとUID/GIDとのマッピングを保存するデータベースを指定する。 | |
| idmap gid | B | SIDをGIDにマッピングする時のGIDの範囲を指定 | |
| idmap uid | B | SIDをUIDにマッピングする時のUIDの範囲を指定 | |
| winbind enable local accounts | C | Winbindでローカルユーザ/ローカルグループの管理を行う | |
| winbind nested groups | B | Windowsと同様のグループの階層化をサポートする(規定値はNo) | |
| winbind trusted domains only | C | 信頼するドメインのメンバだけの利用に制限する(規定値はNo) | |
| template primary group | C | ローカルユーザを作成した時のプライマリグループの規定値を指定する | |
| enable rid algorithm | C | RIDの生成アルゴリズムを有効にする(開発者向けパラメータ) | |
| LDAP | |||
| ldap delete dn | B | Sambaユーザ削除時にLDAPのエントリも削除する(規定値No) | |
| ldap group suffix | B | LDAPにグループを登録する時のサフィックスを指定する | |
| ldap idmap suffix | B | LDAPにSIDとUIDのマッピングを保存する時のサフィックスを指定する | |
| ldap machine suffix | B | LDAPにマシンを登録する時のサフィックスを指定する | |
| ldap passwd sync | B | Sambaユーザのパスワードを変更したときにLDAPのパスワードも変更する。 | |
| ldap replication sleep | B | SambaがスレーブLDAPを利用している時、更新時の複製を待つ時間をミリ秒単位で設定(規定値は1000ミリ秒) | |
| ldap user suffix | B | LDAPにユーザを登録する時のサフィックスを指定する | |
| その他、一般設定 | |||
| preload modules | C | クライアントの接続スピード向上のために予めロードしておくライブラリモジュールを指定する。 | |
| privatedir | C | パスワードやシークレットファイルの格納ディレクトリを指定 | |
表3:Samba3.0で新しく追加されたパラメータ
重要度:A:対処必須、B:該当機能を利用しているときは重要、C:必要に応じて設定
| smb.confパラメータ | 重要度 | 意味 |
| encrypt passwords | A | 暗号化パスワードの利用。従来Noが規定値だがYesに変更。Yesの利用が望ましい。 |
| mangling method | A | 8.3形式のSFN(DOS用の短いファイル名)生成方法の指定。従来hashが規定値だったが、hash2に変更 |
| passwd chat | B | unix password sync=yesとしてOSのパスワードと同期するときのエラーチェックが強化され、従来はpasswd programがpasswd chat通りに応答を返さなくてもSambaパスワードが変更されていたが、エラー時にはSambaパスワードが変更されなくなった。 |
| passwd program | B | |
| password server | C | security=ADS(ActiveDirectoryによる認証)の時にLDAPポートによる認証をサポート |
| restrict anonymous | C | サーバへの匿名アクセスを制限。 従来はYes/Noが指定でき、No(匿名接続を拒否しない)が規定値だったが、0,1,2の3つの値から選択できるようになった。 Windowsのレジストリ HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control \LSA\RestrictAnonymous と同じ意味を持ち、0は匿名接続を許可、1は匿名接続を拒否、2はWin2000/XP/Samba以外の接続を拒否 |
| security | B | security=ADS(ActiveDirectoryによる認証)をサポート |
| strict locking | B | 従来はファイルのロックはアプリケーションまかせ(No)であったが、強制ロック(Yes)が規定値になった。 |
| winbind cache time | C | 結果のキャッシュ保存時間の規定値が15秒から300秒へ変更 |
| winbind uid | B | idmap uidパラメータに置き換え |
| winbind gid | B | idmap gidパラメータに置き換え |
表4:Samba3.0で規定値や動作(振る舞い)に変更のあったパラメータ
バックナンバー
この記事の筆者
筆者の人気記事
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
