本文に進む 日本−日本語
日本ヒューレット・パッカードホーム 製品とサービス お客様サポート/ ダウンロード ソリューション ご購入の方法
≫ お問い合わせ
日本ヒューレット・パッカードホーム
HP OpenVMS CIFS Version 1.1: 管理者ガイド

第3章 HP CIFSの導入モデル

≫ 

OpenVMSドキュメント・ライブラリ

目次
まえがき
第1章:HP CIFS Server について
第2章:インストールおよび構成
第3章:導入モデル
第4章:LDAP統合のサポート
第5章:winbindのサポート
第6章:ユーザ,グループ,ファイル・アクセスの管理
第7章:ツール・リファレンス
付録A:実行例
索引
PDF
OpenVMS ホーム
ここから本文が始まります

この章では,Samba ドメインモデル,HP CIFS Server のみの構成,あるいは Windows NT / Active Directory ドメインモデルのいずれかのドメインの役割に基づいて HP CIFS Server を構成する方法について説明します。

注記: 現時点では,HP CIFS Server は,ドメインコントローラーとの通信で NetBIOS over TCP/IP に依存する NT スタイルのメンバーサーバーとしてのみ Windows Active Directory ドメインに参加できます。 この章の情報は Windows NT ドメインモデルについて説明していますが,この情報は Active Directory ドメインにもそのまま適用できます。 たとえば,各 Active Directory ドメインで指定されたドメインコントローラーは,そのドメインに対する PDC エミュレータとして機能し,下位互換性を持ちます。

3.1 ドメインの役割

ここでは,それぞれ異なる役割を持ついくつかのドメイン用に HP CIFS Server を構成する方法について説明します。

3.1.1 プライマリ・ドメインコントローラー

各ドメインには,必ずプライマリ・ドメインコントローラーが存在します。プライマリ・ドメインコントローラー(PDC)はドメイン内でいくつかのタスクを担当します。以下にそれらを示します。

  • ユーザーログオン時の認証,およびドメインメンバーのワークステーションの認証を行います。

  • ドメインのユーザーアカウントおよびグループ情報を管理します。

  • プライマリ・ドメインコントローラーにドメイン管理者としてログオンしたユーザーは,ドメインに所属する任意のマシンの Windows ドメインアカウント情報を追加,削除,変更できます。

  • ドメイン・マスターブラウザおよびその IP サブネットのローカル・マスターブラウザーとして機能します。

3.1.2 バックアップ・ドメインコントローラー

3.1.2.1 バックアップ・ドメインコントローラーの利点

バックアップ・ドメインコントローラー (BDC) には以下のような利点があります。

  • PDC に接続している広域ネットワーク・リンクがダウンしている場合でも,BDC を利用することにより,ユーザーログオンの認証やドメインメンバーであるワークステーションの認証を行うことができます。

  • BDC は,ドメインのセキュリティとネットワークの一貫性の面で重要な役割を果たします。

  • ローカル・ネットワーク上の PDC の負荷が非常に高くなっている場合に,BDC がネットワーク・ログオン要求を引き受け,ユーザーを認証できます。 これによりネットワーク・サービスの堅牢性が向上します。

  • PDC で障害が発生したり,サービスを停止する必要があるような場合には,BDC を PDC に昇格させることができます。 これはドメインコントローラー管理における重要な機能です。

3.1.3 ドメイン・メンバーサーバ

ドメイン・メンバーサーバは,ドメイン・セキュリティには参加しますが,ドメインアカウント・データベースのコピーは持ちません。 各ドメイン・メンバーサーバは別々にローカルアカウント・データベースを持ちますが,ドメインコントローラーあるいはトラステッド・ドメインが管理するアカウントを利用することもできます。

  • 以下のメンバーサーバーがサポートされます。

    • Windows NT

    • Windows 2000 および Windows 2003

    • HP CIFS Server

    • Advanced Server for OpenVMS

  • ドメインユーザーは,ファイル共有やプリンタ共有になどのドメイン・メンバーサーバのリソースにアクセスすることができます。

  • メンバーサーバーは,ユーザー認証要求をドメインコントローラーに渡してドメインユーザーを認証します。

3.2 Samba ドメインモデル

次のような環境では Sambaドメイン導入モデルが使用できます。

  • HP CIFS Server によってドメインが構成されており,Windows ドメインコントローラーが存在しない。

  • 相応数のユーザーにファイルサービスとプリントサービスを提供する任意の数の OpenVMS サーバーをサポートしている。

  • 1つの HP CIFS Server がプライマリ・ドメインコントローラー (PDC) として構成されており,1 つ以上の HP CIFS Server がバックアップ・ドメインコントローラー(BDC)として動作している。

  • ドメインのアカウントは,HP OpenVMS Enterprise Directory Server などで作成された LDAP ディレクトリで管理される。

  • PDC および BDC は,ユーザーの認証時などには,Samba LDAP バックエンド (ldapsam) を使用して LDAP ディレクトリサーバーにアクセスする。

Samba ドメインモデルには次の利点があります。

  • 簡単に規模を拡張できます。

  • BDC として動作する HP CIFS Server は,ネットワーク・ログオン要求をピックアップできるので,ネットワーク上で PDC がビジー状態の場合でもユーザーを認証できます。

  • PDC をサービスから除外する必要のある場合や,PDC に障害のある場合,BDC を PDC に昇格させることができます。 PDC-BDC モデルを使用すると,大規模なネットワークで認証の負荷を分散できます。

  • PDC,BDC,およびドメイン・メンバーサーバは,アカウント・データベースを LDAP ディレクトリに保存するので,ネットワークのサイズに関係なく管理を一元化できる。

図 3-1は,ローカルにパスワード・データベースを持つ PDC として動作するスタンドアロンの HP CIFS Server を示しています。

図 3-1 PDC として動作するスタンドアロンの HP CIFS Server

Standalone HP CIFS Server as a
PDC

図 3-2 は,LDAP バックエンドとして EDS (Enterprise Directory Server) を使用し,PDC として動作するスタンドアロンの HP CIFS Server を示しています。

図 3-2 EDS バックエンドを使用し,PDC として動作するスタンドアロンの HP CIFS Server

Standalone HP CIFS Server as a
PDC with NDS backend

図 3-3は,LDAP バックエンドとして EDS (Enterprise Directory Server) を使用する複数の HP CIFS Server を示しています。

図 3-3 EDS バックエンドを使用する複数の HP CIFS Server

EDS バックエンドを使用する複数の HP CIFS Server

Samba ドメイン導入モデルは,プライマリ・ドメインコントローラー (PDC) として構成された1つの HP CIFS Server と,バックアップ・ドメインコントローラー (BDC) として動作する 1 つ以上の HP CIFS Server によって構成されます。 PDC,BDC,およびメンバーサーバーは,一元化された LDAP バックエンドを使用し,LDAP ディレクトリ上で CIFS アカウントを統合しています。

3.2.1 Samba ドメインのコンポーネント

複数のサーバーが必要とされることが多いので,このモデルではディレクトリサーバーと LDAP アクセスを使用します。 POSIX と Windows のユーザー・データを統合管理するのに LDAP サーバーを使用します。 LDAP の設定方法については,詳細は,第4章 「LDAP統合のサポート」を参照してください。

マルチサブネット環境では WINS が使用されます。 マルチサブネット環境では単一の IP サブネットのブロードキャスト制限を超えるため,名前と IP アドレスのマッピングが必要になります。 PC クライアントの構成にも WINS サーバーのアドレスを指定でき,これによって IP サブネット境界の外部にあるシステムのアドレスを認識できます。 HP CIFS Server を WINS クライアントとして構成するには,SMB.CONF グローバルパラメーター “wins server” を使用して WINS サーバーの IP アドレスを指定します。 この際,HP CIFS Server が WINS サーバーとなることはできません。

3.2.1.1 PDC として動作する HP CIFS Server

PDC として構成された HP CIFS Server は,ドメイン全体の認証を担当します。 SMB.CONF グローバルパラメーター “security = user”“domain master = yes”,および “domain logons = yes” を設定して,そのサーバーがドメインの PDC となるように指定してください。

単一サーバー構成の場合は,tdbsam パスワード・バックエンドを使用することもありますが,設置する数が多い場合は,LDAP バックエンドを使用して CIFS ユーザーを一元的に管理する必要があります。 LDAP の構成には,passdb backend = ldapsam:ldap://<LDAPサーバーを実行しているノードの名前あるいはIPアドレス>を使用します。

CIFS PDC の重要な特性にブラウジング制御があります。 パラメーター domain master = yes を指定すると,サーバーは NetBIOS 名 <domain name>1B を登録します。 1B は,ドメイン・マスターブラウザー用に予約されています。 この <domain name>1B 名は,他のシステムがドメインの PDC を探す際に使用されます。

以下に SMB.CONF ファイルの例を示します。

[global]

#SAMBA Domain name

workgroup = SAMBADOM

server string = PDC running on %h (OpenVMS)

security = user

encrypt passwords = Yes

domain logons = Yes

admin users = <privileged CIFS user>

os level = 65

preferred master = Yes

domain master = Yes

wins server = <server ip address>

log file = /samba$root/var/log_%h.%m

logon script = netlogon.bat

name resolve order = wins lmhosts bcast

idmap uid = 1000-10000

idmap gid = 1000-10000

[netlogon]

comment = The domain logon service

path = /samba$root/netlogon

browseable = no

guest ok = no

3.2.1.1.1 制限事項

PDC のサポートに関しては以下の制限事項があります。

  • HP CIFS Server は,SAM (Security Account Management) のアップデート・デルタ・ファイルは作成できません。 HP CIFS Server は,PDC と通信して BDC が持つデルタ・ファイルから SAM の同期化を行うことはできません。

  • HP CIFS Server PDC は BDC へのアカウント情報の複製をサポートしていません。 また,BDC を LDAP 以外のバックエンドと共に運用している場合は,SAMデータベースの同期が難しくなります。 このため,バックエンドとして LDAP を使用することをお勧めします。 LDAP を使用したドメイン構成については,『Official Samba–3 HOWTO and Reference Guide』の Table 5.1 「Domain Backend Account Distribution Option」を参照してください。

3.2.1.2 BDC として動作するHP CIFS Server

BDC の構成は PDC の構成とよく似ています。 SMB.CONF グローバルパラメーター “security = user”“domain master = no”,および “domain logons = yes” を設定して,そのドメインの BDC としてサーバーを指定します。 これにより BDC がネットワークログイン処理の大部分を実行できるように構成することができます。 このため,ローカルネットワーク上で PDC がビジー状態の場合でも,ローカルセグメント上の BDC がログオン要求を処理し,ユーザーを認証します。 セグメントの負荷が大きくなると,役割が他のセグメントの BDC や PDC に移され,負荷が分散されます。 したがって,ネットワーク全体に BDC をディプロイすることで,リソースを最適化し,ネットワークサービスの堅牢性を向上させることができます。

SMB.CONF内でlocal masterパラメーターをyesに設定すると,ブラウジングをネットワーク全体に広げることもできます。

使用している PDC のサービスを停止させる必要のある場合や,PDC が機能しなくなった場合は,BDC の1つをPDC に昇格させることができます。BDCをPDCに昇格させるには,domain master パラメーターをnoからyesに変更します。

PDC とBDC は,一元化された LDAP ディレクトリを使用し,LDAP ディレクトリに共通の CIFS アカウントを格納します。 BDCとして動作している HP CIFS Server を LDAP ディレクトリと統合する場合は,HP LDAP ソフトウェアをインストールして,LDAP クライアントを構成する必要があります。 BDC は,Windows 認証用の LDAP ディレクトリにアクセスできます。

  • BDC として動作している HP CIFS Server が LDAP バックエンドを使用しない場合の SMB.CONF ファイルの例を次に示します。

    [global]

    # Samba Domain

    workgroup = SAMBADOM

    security = user

    domain logon = yes

    domain master = no

    encrypt passwords = yes

    security = user

  • BDC として機能する HP CIFS Server が,LDAP バックエンドを使用して OpenVMS および HP CIFS アカウントを保管する場合の SMB.CONF ファイルの例を次に示します。

    [global]

    #Samba Domain

    workgroup = SAMBADOM

    security = user

    domain logon = yes

    domain master = no

    encrypt passwords = yes

    passdb backend = ldapsam:ldap://ldapserver:389

HP CIFS Server は真の SAM データベースだけでなくその複製も実装していません。 HP CIFS Server の BDC の実装は PDC と非常に良く似ていますが,重要な違いが 1 つあります。 BDC は,smb.conf パラメーター domain masterno に設定しなければならない点を除き,PDC と同じように構成されます。

注記:
security

Windows ユーザー,クライアント・マシンアカウント,およびパスワードを passdb backend で保管および管理するには,このパラメーターに user を設定してください。

domain master

HP CIFS Server を BDC として機能させるには,このパラメーターに no を設定してください。

domain logon

netlogon サービスを提供するには,このパラメーターには yes を設定してください。

Encrypt passwords

このパラメーターに yes を設定するとユーザー認証に使用するパスワードが暗号化されます。 HP CIFS Server を BDC として構成する場合は,このパラメーターに yes を設定する必要があります。

3.2.1.2.1 BDC および PDC 間のアカウント・データベースの同期化

Advanced Server と Windows ドメインコントローラーの場合と異なり,HP CIFS PDC および HP CIFS BDC 間のユーザーアカウント・データベースの自動複製機能は提供されません。 HP CIFS 環境で自動複製を実現するには LDAP サーバーの助けを必要とします。 LDAP バックエンドを使用するように HP CIFS PDC および各 HP CIFS BDC を構成することにより,LDAP サーバー間で発生する同期化の結果としてアカウント・データベースの複製が可能になります。 HP CIFS は LDAP バックエンドを使用して,LDAP ディレクトリ (HP Enterprise Directory あるいは OpenLDAP サーバー) でユーザーおよびグループアカウント情報を保管および入手することができます。 1 つの LDAP サーバーを HP CIFS PDC と BDC の両方として使用することは可能ですが,可用性と性能の観点から,HP CIFS PDC と BDC には別の LDAP サーバーを使用することをお勧めします。

passdb backend として tdbsam が指定されている場合,BDC と PDC 間の複製は下記のコマンドを実行することにより実現できます。

$ NET RPC VAMPIRE -S [NT netbios name or IP] -W [domainname] –U administrator%password

3.2.1.3 メンバーサーバーとして動作する HP CIFS Server

HP CIFS Server は,Samba ドメインに参加させることができます。Windows の認証要求は,LDAP,tdbsam,またはその他のバックエンドを使用して,PDC または BDC によって管理されます。 サーバーをメンバーサーバーとして指定する場合は,SMB.CONF グローバルパラメーター “security = domain”“domain master = no”,および “domain logons = no” を設定してください。 HP CIFS Server を Samba Domain に参加させる方法については,3.2.3.2 項 「ドメインへの HP CIFS Server の追加」 を参照してください。

メンバーサーバーにおける SMB.CONF の構成は,PDC や BDC での構成とは異なります。 メンバーサーバーでは SMB グローバルパラメーター "security = domain" を設定する必要があります。 これにより,メンバーサーバーがドメインコントローラーに認証要求を送信することが可能になります。 PDC に制御を渡すには,domain master パラメーターに no を設定してください。 PDC および BDC の場合と同様に,passdb backend パラメーターに tdbsam を設定するとローカルの HP CIFS Server データベースにメンバーサーバー・アカウントが保管され,ldapsam を設定すると HP Enterprise Directory Server for OpenVMS などで作成された LDAP ディレクトリにアカウントが保管されます。

3.2.2 スタンドアロン・サーバーとして HP CIFS Server を構成

スタンドアロン・サーバーはネットワーク上でドメインコントローラーには依存しません。 定義によると,これは,ユーザーおよびグループがローカルに作成および制御され,ネットワーク・ユーザー ID がローカルユーザー・ログインと一致しなければならないことを意味します。 サーバーをスタンドアロン・サーバーとして指定するには,SMB.CONF グローバルパラメーター “security = user” および and “domain logons = no” を設定してください。

3.2.2.1 HP CIFS Server をスタンドアロン・サーバーとして構成する場合の SMB.CONF ファイルの例

[global]
    server string = Samba %v running on %h 
    security =user
    passdb backend = tdbsam
    log file = /samba$root/var/log_%h.%m
    load printers = No
[homes]
    comment = Home Directories
    read only = No
    browseable = No

3.2.3 PDC として HP CIFS Server を構成

HP CIFS Server を PDC として構成する手順は以下のとおりです。

  1. SMB.CONF ファイルに以下のパラメーターが追加されていることを確認します。

    下記のパラメーターはユーザーの追加あるいは削除の際に役に立ちます。

    ADD USER TO GROUP SCRIPT = SAMBA$ROOT:[BIN]SAMBA$ADDUSERTOGROUP %G %U

    DELETE USER FROM GROUP SCRIPT = SAMBA$ROOT:[BIN]SAMBA$DELUSERFROMGROUP %G %U

    上記のスクリプトは,しかるべき RPC コマンドを実行したときに自動的に実行されます。

    ADDUSERTOGROUP はドメイン・グループにユーザーを追加します。

    DELUSERFROMGROUP はグループからユーザーを削除します。

  2. testparm ユーティリティを実行して,サーバーが PDC として構成されていることを確認します。

    $ @SAMBA$ROOT:[BIN]SAMBA$DEFINE_COMMANDS

    $ testparm

  3. 次のコマンドを実行して HP CIFS Server を起動します。

    $ @SYS$STARTUP:SAMBA$STARTUP

3.2.3.1 HP CIFS ドメインへの Windows クライアントの追加

ここでは,HP CIFS PDC を持つドメインへ Windows クライアントを追加する方法について説明します。

3.2.3.1.1 追加手順
  1. Windows クライアント用の OpenVMS アカウントを作成します。 アカウント名はクライアント・コンピューターと同じにし,ドル記号($)を後に1つ付与する必要があります。 このドル記号はこのアカウントがマシンアカウントであることを示しています。 次に例を示します。

    $ MC AUTHORIZE ADD winstatn01$$ /FLAG=NODISUSER/UIC=[1000,1]

    注記: HP CIFS Server が PDC として構成されている場合,HP CIFS Server PDC に追加するワークステーション名は 11 文字を超えてはいけません。 この制限は,OpenVMS ユーザー名の長さが SYSUAF データベースで 12 文字に制限されているために存在します。
  2. クライアント・コンピューター用の HP CIFS マシンアカウントを作成します。 pdbedit ツールを使用してアカウントを作成し,それがマシンアカウントであることを指定します(マシン名の末尾にはドル記号は含めないでください。ドル記号は pdbedit が自動的に追加します)。 このアカウント名は,上記の手順 1 でそのマシンに対して作成された OpenVMS アカウントと同一でなければなりません。

    $ pdbedit -am winstatn01

    このアカウントは他のアカウントと同じように表示することができますが,その際はドル記号を含む完全なアカウント名を指定する必要があります。次に例を示します。

    $ pdbedit --list --verbose winstatn01$

  3. これで必要なアカウントが作成されるので,管理者はドメインに Windows ワークステーションを追加することができます。 Windows クライアントから以下の手順を実行します。

    1. 任意のユーザーとしてログインします。

    2. マイ コンピューター 右クリックし,プロパティを選択します。

    3. コンピュータ名 タブを選択します。

    4. 変更 ボタンをクリックします。

    5. "次のメンバー" セクションで ドメイン オプションを選択し,HP CIFS ドメインの NetBIOS ドメイン名を指定します。 OK をクリックします。

    6. プロンプトに対してドメイン管理者の証明書を入力します。 成功したら,システムは “welcoming you to the domain” メッセージを表示します。 OK をクリックします。

    7. OK をクリックし,システムリブートに関するメッセージに同意します。

    8. OK のクリックにより,名前の変更が完了しリブートが行われます。

      システムリブートの後,Windows Security ログイン・スクリーンが表示されます。 ドメインの 'username' および 'password' を入力してください。 Logon to ドロップダウン・ボックスからドメイン名を選択します。 Logon to ボックスが存在しない場合,Options ボタンをクリックして表示させてください。

3.2.3.2 ドメインへの HP CIFS Server の追加

ここでは,HP CIFS Server をドメインへ参加させる手順を説明します。 ドメインのメンバーとなるためには,そのドメインで HP CIFS Server がアカウントを必要とします。 このアカウント名は,SMB.CONF ファイルの "netbios name" パラメーターで定義された HP CIFS Server の NetBIOS 名と一致する必要があります。 "netbios name" パラメーターがデフォルト値である %h に設定されている場合,この環境変数 %h はローカル・システムのホスト名に変換されます。 アカウント名にはドル記号が追加され,それがマシンアカウントであることが明示されます。 複数のクラスタ・メンバーが同じ SMB.CONF ファイルを共有する HP CIFS クラスタ環境では,そのクラスタに対する単一のマシンアカウントが必要になり,その名前は SMB.CONF ファイルの "netbios name" パラメーターで指定した値と一致しなければなりません。

マシンアカウントは,HP CIFS Server をドメインに追加する前か,HP CIFS Server をドメインに追加する最中のいずれかのタイミングで作成されます。 前者の場合,管理者は次に示すように適切な方法を使用して,PDC タイプに依存するドメインにコンピューターを追加します。

  • Windows Active Directory Domain (Windows 2000 以降) - 「Active Directory Users and Computers」管理インタフェースを使用して,新しいコンピューターアカウントを追加します。 「Add Computer」ウィザードで,HP CIFS Server の NetBIOS 名 (ドル記号は省略) を指定し,「Assign this computer account as a pre-Windows 2000 computer」チェック・ボックスのみを選択します。

  • Advanced Server for OpenVMS - ADMIN インタフェースを使用して,次のようにコンピューターアカウントを追加します。

    $ ADMIN ADD COMPUTER/TYPE=SERVER <CIFS-SERVER-NAME> ! Do not include a trailing $, it will be added automatically

  • HP CIFS for OpenVMS - 3.2.3.1 項 「HP CIFS ドメインへの Windows クライアントの追加」で説明した方法で,OpenVMS アカウントと CIFS マシンアカウントを追加します。

  • Windows NT PDC - Server Manager アプリケーションを使用してドメインにコンピューターを追加できます。 トップ・メニューから,「Computer」を選択し「Add to Domain」を選択します。 「Windows NT Workstation or Server」ラジオ・ボタンをクリックし,HP CIFS Server の NetBIOS 名 (ドル記号は省略) を指定して Add をクリックします。

HP CIFS サーバーがドメインに参加する前にコンピューターアカウントが作成されている場合,HP CIFS サーバーの管理者は,ドメインにコンピューターを追加するための権限を持つアカウントのドメイン・ユーザー名とパスワードを指定する必要はありません。 この場合,SMB.CONF ファイルを適切に構成した後,次のコマンドを実行してドメインに参加してください。

$ NET RPC JOIN

ドメインに参加する前に HP CIFS サーバーのコンピューターアカウントが作成されていない場合,管理者は,ドメインにコンピューターを追加するための権限を持つドメインアカウントのユーザー名とパスワードを指定する必要があります。 たとえば Administrator アカウントでドメインに参加しマシンアカウントを作成する場合(あるいは既存のマシンアカウントのパスワードを再同期する場合)は,次のようなコマンドを実行します。

$ NET RPC JOIN --user <username>

メンバーサーバーの構成についての詳細は,3.3.2.1 項 「HP CIFS ADSメンバーサーバー用のSMB.CONFファイルの例」を参照してください。

注記:
  1. $ NET RPC JOIN コマンドを実行する前に HP CIFS を開始する必要はありません。

  2. 前述のように,このコマンドは,WINS (SMB.CONF に有効な wins サーバー・エントリが含まれる場合),lmhosts. ファイルのエントリ,あるいはローカル・サブネットにおけるブロードキャストなどの標準の NetBIOS 名前解決手法を使用してドメインの PDC を探す機能に依存しています。 NetBIOS 名前解決が有効かどうかを確認するには,第7章 で説明する nmblookup ツールを使用してください。

  3. 別の方法として,$ NET RPC JOIN には,ドメイン PDC の名前 (--server) あるいは IP アドレス (--ipaddress) を指定するためのオプションが用意されています。 名前が指定されている場合,$ NET RPC JOIN は NetBIOS 名前解決を使用してその IP アドレスを解決します。

  4. $ NET RPC JOIN コマンドは,SMB.CONF ファイルに指定されている場合 "password server" パラメーターを使用しません。

  5. ドメインに参加した後,サーバーがドメインに正しく参加しているかどうか確認するには,$ NET RPC TESTJOIN コマンドを使用してください。

3.3 Windows ドメインモデル

Windows ドメインモデルは,次の特性を持つ環境で使用できます。

  • Windows NT4,Advanced Server for OpenVMS,あるいは Windows 200x サーバーを (NetBIOS 機能を有効にして) 導入している。

  • ファイルおよびプリント・サービスを提供する任意の数の HP CIFS メンバーサーバーをサポートする。

  • さらに大規模な導入の場合は,複数のHP CIFS Server間のwinbind IDマップを保持するために,LDAP Enterprise Directory Serverにバックエンドストレージとしてアクセスする。

Windows ドメインモデルには次の利点があります。

  • Windowsドメインメンバーのシングルサインオン,ネットワークログオン,およびWindowsアカウント管理システムを使用できる。

  • winbindを使用することで,複数のHP CIFS Server間のユーザー管理を簡単に行える。

  • 簡単に機能拡張できる。

図 3-4は,Windowsドメイン導入モデルを示しています。

図 3-4 Windowsドメイン

Windows Domain

Windows ドメインモデルでは,HP CIFS Server は,Windows NTまたはWindows 200x ドメインコントローラーの管理下で,Windowsドメインにメンバーサーバーとして参加できます。 HP CIFS Server は,Windows ユーザーに対して User ID (UID) および Group ID (GID) マッピングを提供するために winbind をサポートしています。 大規模な導入の場合は,LDAP ディレクトリを使用することで,複数の HP CIFS Server 間でユニークな ID マップを保持することができます。

3.3.1 Windows ドメインモデルのコンポーネント

HP CIFS Server は NT ドメインメンバーシップに対して使用される NTLMv1/NTLMv2 セキュリティをサポートするため,任意の Windows 2000/2003 ADS,Windows 200x 混在モード,あるいは NT 環境で HP CIFS Server を管理できます。 HP CIFS Serverは標準のSAMデータベースをサポートしないため,Windows NT,Windows 2000,またはWindows 2003ドメインにドメインコントローラーとして参加することはできません。 HP CIFS Server は winbind をサポートします。これを使用して,OpenVMS ユーザーとグループを Windows ユーザーとグループのマッピングに明示的に割り当てるのを回避することができます。 winbindは,Windowsユーザーに対して UID とGID の生成機能およびマッピング機能を提供します。 SMB.CONF パラメーター idmap uid = <uid range>およびidmap gid = <gid range>を設定してください。 winbindについての詳細は,第5章を参照してください。 複数のHP CIFS Serverを配備する場合は,LDAPディレクトリを使用して複数のシステム間で一意のIDマップを保持することができます。 この処理を行わないと,システム間でユーザーマッピングの一貫性が取れなくなります。 LDAPディレクトリ内でIDマップを一元管理するには, SMB.CONFファイル内のidmap backendパラメーターをldap:ldap://<ldap server name>に設定します。

SMB.CONF パラメーター wins server = <Windows or NT WINS server address を設定して,マルチサブネット・ネットワーク全体にアクセスできるように構成することもできます。

3.3.2 ADS ドメインモデルの例

図 3-5 は,ドメインコントローラー・マシンhpcif23,メンバーサーバーとして機能する HP CIFS Server マシン hpcif54,および Enterprise Directory Server システム hptem128 で構成される Windows 2000/2003 ADS ドメインモデルの例です。

図 3-5 ADS ドメインモデルの例

An example of the ADS Domain Model

3.3.2.1 HP CIFS ADSメンバーサーバー用のSMB.CONFファイルの例

次に示すサンプルの HP CIFS 構成ファイル SAMBA$ROOT:[LIB]SMB.CONF は, 図 3-5の ADS ドメインモデルで ADS メンバーサーバーとして動作する HP CIFS Server マシンhpcif54で使用されるものです。

######################################################
#
# An sample smb.conf file for an HP CIFS ADS member server 
#
# Global Parameters
[global]
# Domain Name
workgroup = hpcif23_dom 
server string = CIFS Server as a domain member of hpcif23_dom
security = domain
netbios name = hpcif54
encrypt passwords = yes
password server = hpcifs23
passdb backend = ldapsam:ldap//<name or IP address of the node> 
log level = 0
log fie = /samba$root/var/log.%m
max log size = 1000
host msdfs = no

# For idmap configuration of winbind
idmap backend = ldap:ldap://hptem128 
idmap uid = 1000-10000
idmap gid = 1000-10000
ldap server = hptem128 
ldap admin dn = "cn=Directory Manager"
ldap suffix = dc=org, dc=hp, dc=com
ldap port = 389
ldap idmap suffix = ou=ldmap

[homes]
comment = Home Directory
browseable = no
writable = yes
create mode = 0664
directory mode = 0775

[share1]
path = /tmp
read only = no

[tmp]
path=/tmp
read only = no
browseable = yes
writable = yes

次に示すサンプルの HP CIFS 構成ファイル SAMBA$ROOT:[LIB]SMB.CONF は, passdb backendtdbsam の ADS ドメインモデルで ADS メンバーサーバーとして動作する HP CIFS Server マシン hpcif54 で使用されるものです。

######################################################
#
# An sample smb.conf file for an HP CIFS ADS member server
#
# Global Parameters
[global]
# Domain Name
workgroup = hpcif23_dom
server string = CIFS Server as a domain member of hpcif23_dom
security = domain
netbios name = hpcif54
encrypt passwords = yes
password server = hpcifs23
passdb backend = tdbsam
log level = 0
log fie = /samba$root/var/log.%m
max log size = 1000
host msdfs = no

# For idmap configuration of winbind
idmap uid = 1000-10000
idmap gid = 1000-10000

[homes]
comment = Home Directory
browseable = no
writable = yes
create mode = 0664
directory mode = 0775

[share1]
path = /tmp
read only = no

[tmp]
path=/tmp
read only = no
browseable = yes
writable = yes
注記: HP CIFS Server は,OpenVMS ユーザーおよびグループをドメインユーザーおよびグループに割り当てる方法をいくつかサポートしています。 winbind を使用している場合,winbind でユーザーおよびグループのマッピングを作成および管理することができます。 winbind マッピングについての詳細は,5.5 項 「ユーザーとグループのマッピング」 を参照してください。 winbind を使用していない場合,Windows ユーザーとグループに関連付けたローカルの OpenVMS アカウントを作成する必要があります。

3.3.2.2 ローミングプロファイル

PDCとして構成されたHP CIFS Serverは,以下の特徴を持つローミングプロファイルをサポートしています。

  • ユーザーの環境設定,基本設定,デスクトップ設定などがHP CIFS Serverに保存されます。

  • ローミングプロファイルは共有として作成でき,Windowsクライアント間で共有可能です。

  • ユーザーがドメイン内のワークステーションにログオンした場合,PDCとして構成されたHP CIFS Serverのシェアからローカル・マシンにローミングプロファイルがダウンロードされます。 ログアウト時には,ローカル・マシンのプロファイルがサーバーにコピーされます。

3.3.2.2.1 ローミングプロファイルの構成

ローミングプロファイルの構成手順は以下のとおりです。

  1. smb.confファイルのグローバルパラメーターlogon pathを使用して,ローミングプロファイルを変更または使用可能にします。例を次に示します。

    [global]

    #%L substitutes for this servers NetBIOS name, %U is user name

    logon path = \\%L\profile\%U

    workgroup = SAMBADOM

    security = user

    encrypt passwords = yes

    domain logon = yes

  2. ローミングプロファイル用の[profiles]シェアを作成します。ユーザープロファイル・ファイル用に使われるプロファイル・シェアに対して,profile acls = yesを設定します。 通常のシェアでは、シェア上に作成されるファイルの所有権が不正なものとなるため,profile acls = yesを設定しないでください。 [profiles]シェアの構成例を以下に示します。

    [profiles]

    profile acls = yes

    path = /samba$root/profiles

    read only = no

    create mode = 600

    directory mode = 770

    writeable = yes

    browseable = no

    guest ok = no

3.3.2.3 ユーザーログオン・スクリプトの構成

ユーザーログオン・スクリプトの構成は,以下の要件を満たしている必要があります。

  • ユーザーログオン・スクリプトは,HP CIFS Server上のファイル・シェア[netlogon]に保存されている必要があります。

  • OpenVMS 実行可能権限が設定されている必要があります。

  • ログオン・スクリプトには,Windowsクライアントが認識できる有効なコマンドが含まれていなくてはなりません。

  • ログオン・スクリプトを実行するログオン・ユーザーは,適切なアクセス権限を持っている必要があります。

ユーザー・ログイン・スクリプトの構成例を以下に示します。

[global]

logon script = %U.bat

[netlogon]

path = /samba$root/netlogon

browseable = no

guest ok = no

3.4 信頼関係

ドメイン間に信頼関係を確立すると,あるドメインで認証されたユーザー(このドメインを"信頼されたドメイン"と呼びます)が, 別のドメイン内のリソースにアクセスすることができます(こちらのドメインのことを"信頼するドメイン"と呼びます)。 ドメインのタイプに応じて,信頼にはいくつかの形式があります。 信頼の概念は Windows NTドメインで導入され,Windows Active Directory ドメインでさらに強化、拡張されています。 HP CIFS サーバーは,Windows NT (および Advanced Server for OpenVMS) でサポートするものと同じタイプの信頼をサポートします。 これらのタイプの信頼の特性は一方向で,あるドメインが別のドメインを信頼していても,その逆方向の信頼は自動的には適用されません。 両方のドメインがお互いに信頼しあうためには,2 つの一方向信頼関係が必要となります。 信頼についての詳細は,http://technet.microsoft.com にあるMicrosoft Technetのペーパーを参照してください。

一方向の信頼関係を確立するプロセスでは,両方のドメインでの管理作業が必要になります。 管理者は,まず信頼される側のドメイン(ユーザー・ログインが認証されるドメイン)で信頼を確立し,信頼する側のドメインの管理者に提供するパスワードを指定します。 このパスワードは,信頼する側のドメインで信頼を確立する際に使用されます。

3.4.1 信頼されるドメインでの信頼の確立

信頼されるドメインで信頼を確立する方法は,PDC のタイプによって異なります。 ここでは,HP CIFS PDC の場合に適用される方法を説明します。 その他のタイプの PDC に関する情報は,そのシステムのドキュメントを参照してください。

  1. 信頼する側のドメイン名にドル記号($)を付けたアカウント名で OpenVMS アカウントを作成します。

    たとえば,信頼するドメインの NetBIOS 名が trustingdom の場合,次のようなコマンドを実行します。

    $ MC AUTHORIZE ADD TRUSTINGDOM$ /UIC=[1000,1] /FLAG=NODISUSER

  2. $ NET RPC TRUSTDOM コマンドを使用して,CIFS ユーザー・データベースにドメイン間信頼アカウントを作成します。 信頼されるドメインの名前(最後のドル記号は含めません),選択したパスワード(信頼する側のドメインで信頼を確立する際に使用したもの),およびドメイン管理者の証明書を指定します。 このアカウント名は手順 1 で作成した OpenVMS アカウントと同じものでなければなりません。 次の例では, 信頼するドメインの名前は trustingdom です。

    $ NET RPC TRUSTDOM ADD TRUSTINGDOM ANYPASSWORDUCHOOSE --USER CIFSADMIN

    Password: <cifsadmin-password>

3.4.2 信頼するドメインでの信頼の確立

信頼される側のドメインで信頼を確立したら,信頼する側のドメインで信頼の確立を行い信頼関係の構築を完了させます。 信頼するドメインで信頼を確立する際には,信頼されるドメインで信頼を確立する際に使用したパスワードが必要になります。 信頼するドメインで信頼を確立する方法は,PDC のタイプによって異なります。 ここでは,HP CIFS PDC の場合に適用される方法を説明します。 その他のタイプの PDC に関する情報は,そのシステムのドキュメントを参照してください。

信頼を確立するために,次のようなコマンドを実行して信頼されるドメインの名前を指定してください。 パスワードの入力が求められます。

$ NET RPC TRUSTDOM ESTABLISH <TRUSTED-DOMAIN-NAME>

PASSWORD: <TRUST-PASSWORD>

3.4.3 信頼関係の表示

設定されている信頼関係を表示するには,$ NET RPC TRUSDOM の list コマンドを使用します。

$ NET RPC TRUSTDOM LIST --USER CIFSADMIN

PASSWORD: <CIFSADMIN-PASSWORD>

3.4.4  HP CIFS ドメインと Windows Active Directory ドメイン間の双方向の信頼関係の確立

設定手順

  1. HP CIFS Server を PDC として構成します。 構成方法については, 3.2.3 項 「PDC として HP CIFS Server を構成」 を参照してください。

  2. HP CIFS ドメインの PDC と Windows ドメインの PDC エミュレータが同じサブネット上にない場合は,両方のドメインの PDC が WINS を使用するように構成するか,両方の lmhosts. ファイルに適切なエントリーを追加してください。

    次の例は,ドメイン NEWTONDOM にあり IP アドレスが 16.148.195.74 の NEWTON という名前の HP CIFS PDC のために Windows PDC エミュレータ側の lmhosts. ファイルで必要となるエントリーです。

    16.148.195.74 newton #PRE #DOM:newtondom

    16.148.173.74 "newtondom      \0x1b" #PRE

    注記: 上記のエントリーで引用符(")間はちょうど 20 文字でなければなりません。 この例の場合,ドメイン名の後に 15 文字の半角スペースを入れ最後に \0x1b を入れます。

    次の例は,ドメイン WINSDOM にあり IP アドレスが 16.138.185.206 の WINPDC という名前の Windows PDC エミュレータのために HP CIFS PDC 側の lmhosts. ファイルで必要となるエントリーを示しています。

    16.138.185.206 WINPDC

    16.138.185.206 WINSDOM#1B

  3. 信頼されるドメインでの信頼の確立

    双方向の信頼関係の確立のためには,HP CIFS と Windows ドメインの両方で信頼を確立する必要があります。

    HP CIFS で信頼されるドメインの信頼を確立する方法については, 3.4.1 項 「信頼されるドメインでの信頼の確立」 を参照してください。

  4. 信頼の確立

    双方向の信頼を確立する場合は以下の設定を行ってください。

    Windows PDC での設定

    1. HP CIFS ユーザーにアクセスさせたいリソースが存在するドメインの Active Directory コントローラーで Active Directory Domains and Trusts をオープンします。

    2. Trusts タブをクリックし,次に New Trust をクリックします。

    3. New Trust Wizard が表示されたら, Next をクリックします。

    4. Name ボックスに HP CIFS ドメイン名を入力します。 たとえば newtondom とタイプして,Next をクリックします。

    5. Direction of Trust ウィンドウで Two-way を選択します。

      図 3-6 信頼の方向

      信頼の方向
    6. Next をクリックし,Domain-wide Authentication を選択します。

    7. Next をクリックし,Trust password ボックスでこの信頼のパスワードをタイプします。

    8. Confirm trust password ボックスで再度パスワードをタイプし, Next をクリックします。

    9. Confirm Outgoing Trust ウィンドウで Yes, confirm the outgoing trust を選択します。

    10. Confirm Incoming Trust ウィンドウで HP CIFS のユーザー名とパスワードを入力し,Next をクリックします。

      注記: これらの操作はシステム管理ユーザーとして実行しなければなりません。

    HP CIFS PDC での設定

    信頼するドメインで信頼を確立する方法については,3.4.2 項 「信頼するドメインでの信頼の確立」 を参照してください。

    Windows PDC ボックスで入力したパスワードの入力を求められます。

    注記: 周期的にエラーメッセージ "NT_STATUS_NOLOGON_INTERDOMAIN_TRUST_ACCOUNT," が表示される場合がありますが,特に問題はありませんので無視してかまいません。 このメッセージは,入力したパスワードが正しいもので, そのアカウントが通常の接続ではなくドメイン間接続で利用可能であることを NT4 サーバーが伝えてるために表示されます。 巨大なネットワークでは時間がかかりますが,しばらくすると最終的には成功メッセージが表示されます。

3.4.5 信頼関係を有効にする

Windows PDC で信頼関係を有効にするには,Validate をクリックします。

Active Directory ウィンドウで,HP CIFS のユーザー名とパスワードをを入力し,OK をクリックします。

図 3-7 Active Directory

Active Directory

成功すると次のようなメッセージが表示されます。

“The trust has been validated. It is in place and active”.

印刷用画面へ
プライバシー 本サイト利用時の合意事項
© 2009 Hewlett-Packard Development Company, L.P.