本文に進む 日本−日本語
日本ヒューレット・パッカードホーム 製品とサービス お客様サポート/ ダウンロード ソリューション ご購入の方法
≫ お問い合わせ
日本ヒューレット・パッカードホーム
HP OpenVMS CIFS Version 1.1: 管理者ガイド

第4章 LDAP統合のサポート

≫ 

OpenVMSドキュメント・ライブラリ

目次
まえがき
第1章:HP CIFS Server について
第2章:インストールおよび構成
第3章:導入モデル
第4章:LDAP統合のサポート
第5章:winbindのサポート
第6章:ユーザ,グループ,ファイル・アクセスの管理
第7章:ツール・リファレンス
付録A:実行例
索引
PDF
OpenVMS ホーム
ここから本文が始まります

この章では,HP CIFS ServerのLDAP統合について説明します。 LDAP の利点,パスワード・バックエンドとして LDAP を使用するように HP CIFS Server ソフトウェアを構成する手順などについても説明します。

4.1 概要

LDAP (Lightweight Directory Access Protocol)とは,集中管理インフラストラクチャを構築するための枠組みを提供するものです。LDAPは,アプリケーション,サービス,ユーザーアカウント,Windowsアカウント,および構成情報を集中管理するためのLDAPディレクトリに統合することによって,ディレクトリ対応のコンピューティングをサポートします。

多数のユーザーとサーバーを抱えた環境で HP CIFS を使用する場合は,HP CIFS ServerとLDAPサポートを統合することが望ましい場合があります。 複数のCIFSサーバーがLDAPディレクトリサーバーと通信できるように構成することにより,ユーザー・データベースを集中的かつスケーラブルに管理できるようになります。 HP CIFS Server を OpenVMS 上の LDAP 製品と統合する場合,HP CIFS Server は Enterprise Directory Server 上にユーザーアカウント情報を保管することができます。 LDAP データベースは tdbsam あるいは NT サーバーのユーザー・データベースに取って変わることができます。

これまでpassdb.tdbファイルに格納されていたWindowsユーザー情報をLDAPディレクトリに格納することができます。 LDAP パスワード統合機能を使用するように HP CIFS Server が構成されている場合,SMBD プログラムは 認証および承認処理の際に LDAP ディレクトリを使用して Windows ユーザー情報を調べることができます。 また,ユーザー情報の追加,削除,変更のために pdbedit プログラムを起動する際,tdbsam バックエンドが使用する passdb.tdb ファイルではなく,LDAP ユーザー・データベースのアップデートが行われます。

LDAPサポートは,HP CIFS Serverの構成パラメーターを使用することで有効にすることができます。 SMB.CONFpasswd backend パラメーターに ldapsam を設定している場合,HP CIFS Server は LDAP ディレクトリサーバーにあるパスワード,ユーザー,グループ,およびその他のデータにアクセスします。

4.1.1 HP CIFS Serverの特長

LDAPをサポートするHP CIFS Serverには次の特長があります。

  • LDAPがユーザー・データベースを集中管理するため,複数のCIFSサーバーでユーザーアカウント情報を管理する必要性が低減されます。

  • 複数のCIFSサーバーやユーザーを容易にLDAPディレクトリ環境に追加できます。これによってHP CIFS Serverのスケーラビリティが大幅に向上します。

  • LDAPディレクトリでユーザーアカウント情報の保存および検索が可能です。

  • tdbsamファイルに保存される情報には限りがあり,追加的な属性を保存することができません。LDAPサポートでは,スキーマを拡張することができるので,より多くのユーザー情報をLDAPディレクトリに保存できます。また,これによって社員やユーザーのデータベースを別途用意する必要もなくなります。

4.2 ネットワーク環境

HP CIFS Serverは,さまざまなネットワーク環境をサポートしています。WINS,ブラウザー制御,ドメイン・ログオン,ローミングプロファイルなど,多くの機能は引き続き利用可能であり,さまざまなネットワーク環境をサポートできます。LDAP統合により,HP CIFSユーザー認証のための新たな解決策が利用できるようになります。

4.2.1 ドメインモデルのネットワーク

4.2.1.1 プライマリ・ドメインコントローラー (PDC)として動作するHP CIFS Server

PDCはWindows認証を担当しているため,PDCとして構成されたHP CIFS Serverは,tdbsamをLDAP対応のディレクトリサーバーに置き換えてWindows認証を実現します。Sambaに関するその他の構成項目は変更する必要はありません。

4.2.1.2 Samba PDC のバックアップ・ドメインコントローラー (BDC) として動作する HP CIFS Server

BDC もまた Windows 認証に使用されるため,BDC として構成された HP CIFS Servers は,ユーザー認証のために LDAP ディレクトリにアクセスできます。 BDC では SMB.CONFdomain master パラメーターを no に設定できる点を除き,BDC の構成は PDC の構成と似ています。

4.2.1.3 メンバーサーバーとして動作するHP CIFS Server

ドメインモデルのネットワーク環境でメンバーサーバーとして動作する HP CIFS Server は,個々の Samba 構成を変更することなくそれぞれメンバーサーバーとして動作し続けることができます。 Windows の認証要求は,LDAP を使用しているか tdbsam を使用しているかに関係なく,引き続き PDC によって管理されます。

メンバーサーバー (security = domain) が LDAP を使用するように構成されている場合,PDC 経由で認証を行おうとします。 PDC 認証が失敗した場合,自身の SMB.CONF 構成ファイルに設定されている LDAP ディレクトリサーバー経由で直接認証を試みます。

4.2.2 ワークグループモデルのネットワーク

LDAP が有効になっている場合,ユーザーモードの認証が失敗すると,認証は LDAP サーバーにフェール・バックします。 スタンドアロンのユーザーモード・サーバーとして構成されたHP CIFS Serverは,tdbsamをLDAPディレクトリサーバーに置き換えることができます。

4.2.3 LDAP統合によるCIFS認証

LDAP統合により,複数のHP CIFS Serverが単一のLDAPディレクトリサーバーを共有できるようになり,ユーザー・データベースを集中管理できます。HP CIFS Serverは,LDAPディレクトリにアクセスしてWindowsのユーザー情報を検索し,ユーザー認証を行うことができます。 図 4-1 は,LDAPネットワーク環境でのCIFS認証を示しています。

図 4-1 LDAP統合によるCIFS認証

The CIFS Authentication with LDAP
Integration

図 4-1 「LDAP統合によるCIFS認証」 に示された,Windows PC,CIFS Server,およびLDAPディレクトリサーバーの間で行われるユーザー認証のためのメッセージ交換について以下に説明します。

1. Windowsユーザーが接続を要求します。

2. CIFS Serverは,Windows PCクライアントにchallengeを送信します。

3. Windows PCクライアントは,ユーザーパスワードとchallenge情報に基づいてresponseパケットをCIFS Serverに送信します。

4. CIFS Serverは,LDAPディレクトリサーバーを調べてユーザーデータを検索し,パスワード情報などのデータ属性を要求します。

5. CIFS Serverは,LDAPディレクトリサーバーからパスワード情報などのデータ属性を受け取ります。そのパスワードとchallenge情報が,クライアントのresponseパッケージに含まれる情報と一致すれば,Sambaユーザーの認証は成功です。

6. ユーザー認証が成功し,有効なOpenVMSユーザーに適切にマッピングできたら,CIFS Serverは,ユーザーのトークンセッションIDをWindows PCクライアントに返します。

4.3 Directory Serverのインストールと構成

ここでは,HP OpenVMS Enterprise Directory の設定および構成方法について説明します。

4.3.1 Directory Serverのインストール

まだインストールされていない場合は,HP OpenVMS Enterprise Directory Server を設定する必要があります。 Directory Server のインストール方法については,『HP OpenVMS Enterprise Directory Installing』を参照してください。

4.3.2 Directory Server の構成

HP OpenVMS Enterprise Directory は,HP CIFS で LDAP バックエンドをサポートするために Samba Schema ファイルでアップデートされています。 これは,HP OpenVMS Enterprise Directory が HP CIFS の LDAP バックエンドとして動作するのを想定したものです。 LDAP の構成方法については,『HP OpenVMS Enterprise Directory Management Guide』を参照してください。

HP CIFS パスワード・バックエンドとして LDAP を構成する手順は以下のとおりです。

  1. 以下のように,特権アカウントから Network Control Language (NCL) を起動し,次のコマンドを入力してHP CIFS固有のネーミング・コンテキストを作成します。

    $ MC NCL

    NCL> CREATE DSA NAMING CONTEXT "/SAMBADOMAIN= <samba_domain_name>"

    /SAMBADOMAIN は,LDAP (X500) ツリーの下に作成されるDIT構造の一部です。 SAMBA_DOMAIN_NAME はDIT構造で指定されているドメイン名で, SAMBA.SCスキーマ・ファイルでも定義されています。

  2. DXIMを起動し,次のコマンドを入力してHP CIFS固有のディレクトリ・エントリを作成します。

    $ DXIM /I=C

    DXIM> CREATE "/SambaDomain = <samba_domain_name>" ATTRIBUTES -

    _DXIM>objectClass=(sambaDomain),sambaDomainName="<samba_domain_name>",sambaSID=<SID_VALUE>

    /SAMBADOMAINは, LDAP (X500) ツリーの下に作成されるDIT構造の一部です。 SAMBA_DOMAIN_NAME は,DIT構造で指定されるドメイン名で,その後に続くsambaDomain,sambaDomainName,および sambaSID はSAMBA.SC スキーマ・ファイルで定義されています。

    注記: sambaSID の値は NET RPC INFO コマンドで取得できます。 次のようにコマンドを入力します。

    $ NET RPC INFO "-U" <adminuser%"passwordofadmin">

    $ NET RPC INFO "-U" "administrator%Welcome123"
      Domain Name:NEWTONDOM
      Domain SID: S-1-5-21-2259843773-1199894201-4032371524
      Sequence number: 33677
      Num users: 5563
      Num domain groups: 55
      Num local groups: 58
  3. LDAP ディレクトリに LDAP admin アカウントを作成します。 次の例のように,SMB.CONF のグローバルパラメーター ldap admin dn の値にはそのアカウントの識別名 (dn) を使用してください。

    ldap admin dn = cn=ldapadmin, cn=users, dc=my-domain, dc=mycompany, dc=com

4.4 HP CIFS Serverの構成

HP CIFS Server で LDAP 機能のサポートを有効にするために,LDAPサーバーにアクセスする際に次のコマンドを使用して, 「Directory Server の構成」 手順3で作成したLDAP の admin アカウントのパスワードをHP CIFS で使用するために SAMBA$ROOT:[PRIVATE]SECRETS.TDB ファイルに追加し,HP CIFS Server の設定および構成を行なう必要があります。

$ smbpasswd -"W" <ldap-admin-password>

4.4.1 LDAP構成パラメーター

表 4-1に示すのは,LDAP を有効にして HP CIFS Server を構成する際に使用できる新しいグローバルパラメーターです。 これらのパラメーターは,SAMBA$ROOT:[LIB]SMB.CONF ファイルの global セクションで設定します。

ここで定義したグローバル設定は,LDAPサポートを備えたHP CIFS Serverによって使用されます。

表 4-1 LDAP関連のグローバルパラメーター

パラメーター

説明
ldap port LDAPディレクトリサーバーに接続するために使用するTCPポート番号を指定します。デフォルトでは,このパラメーターは389に設定されています。
ldap server LDAP サーバーのホスト名あるいは IP アドレスを指定します。
ldap suffixユーザーとマシンのアカウント情報を追加するディレクトリ・ツリーのベースを指定します。 LDAP にエントリーの検索開始位置を指示する検索ベースの識別名 (dn) としても使用されます。 たとえば,ベース DN が "dc=org, dc=hp, dc=com" の場合,ldap suffix = "dc=org, dc=hp, dc=com" を使用してください。
ldap user suffixユーザー情報を追加するディレクトリ・ツリーのベースを指定します。 このサフィックス文字列には,ldap suffix の文字列があらかじめ適用されますので,それらの識別名 (dn) を指定する必要はありません。 このパラメーターを指定しなければ,ldap suffixの値が使用されます。たとえば,ldap user suffix = "ou=People"のように設定します。
ldap group suffixグループ情報を追加するディレクトリ・ツリーのベースを指定します。 このサフィックス文字列には,ldap suffix の文字列があらかじめ適用されますので,それらの識別名 (dn) を指定する必要はありません。 このパラメーターを指定しなければ,ldap suffix の値が使用されます。たとえば,ldap group suffix = "ou=Groups"のように設定します。
ldap admin dn ユーザーのアカウント情報を取り出すときにHP CIFS ServerがLDAPディレクトリサーバーに接続するために使用するユーザーの識別名(dn)を指定します。 ldap admin dn は,secrets.tdb ファイルに保管されているパスワードと組み合わせて使用されます。 たとえば ldap admin dn = "cn = directory manager cn=users, dc=org, dc=hp, dc=com" のように設定します。
ldap delete dnldapsamの削除オペレーションで,エントリー全体を削除するか,またはSamba固有の属性だけを削除するかを指定します。 デフォルト値はNoで,Samba 属性だけを削除します。
ldap passwd syncHP CIFS Serverが,パスワード変更時に通常のアカウントについて,NTおよびLMのハッシュとLDAPのパスワードを同期させるかどうかを指定します。このオプションには,以下の値のいずれかを設定します。
  • Yes: LDAP,NT,LMのパスワードをアップデートし,pwdLastSet時刻をアップデートします。

  • No: NTとLMのパスワードをアップデートし,pwdLastSet時刻をアップデートします。

  • Only: LDAPパスワードだけをアップデートし,後はLDAPサーバーにまかせます。

デフォルト値は,Noです。

ldap replication sleep CIFSは,読み取り専用のLDAPレプリカへの書き込みを要求されると,その要求を読み書きマスターサーバーにリダイレクトします。このサーバーは変更をレプリケートし,ローカルサーバーに戻します。レプリケーションには,特に遅いリンク上であれば,数秒の時間がかかります。書込みが「成功」してもLDAPのバックエンドデータにはすぐに変更が反映されないため,クライアントによっては動作が混乱することがあります。このオプションを指定すると,LDAPサーバーの処理が追い着くまで,CIFSがしばらく待つようになります。値はミリ秒単位で指定します。最大値は,5000 (5秒)です。デフォルトでは,ldap replication sleep = 1000 (1秒)です。
ldap timeoutLDAPサーバーがダウンしているか到達不可能の場合に,HP CIFS Serverが,接続要求に対するLDAPサーバーからの応答を待つ時間(秒単位)を指定します。デフォルト値は,15(秒)です。
ldap idmap suffix idmap マッピングを保管する際に使用されるサフィックスを指定します。 このパラメーターが未設定の場合,代わりに ldap サフィックスの値が使用されます。 このサフィックス文字列には,ldap suffix の文字列があらかじめ適用されますので,それらの識別名 (dn) を指定する必要はありません。 デフォルトは ldap idmap suffix = です。 たとえば ldap idmap suffix = ou=Idmap のように設定します。
ldap machine suffix ldap ツリーのどこにマシンを追加するかを指定します。 このパラメーターが未設定の場合,代わりに ldap サフィックスの値が使用されます。 このサフィックス文字列には,ldap suffix の文字列があらかじめ適用されますので,それらの識別名 (dn) を指定する必要はありません。 デフォルトは ldap machine suffix = です。 たとえば ldap machine suffix = ou=Computers のように設定します。

 

印刷用画面へ
プライバシー 本サイト利用時の合意事項
© 2009 Hewlett-Packard Development Company, L.P.