本文に進む 日本−日本語
日本ヒューレット・パッカードホーム 製品とサービス お客様サポート/ ダウンロード ソリューション ご購入の方法
≫ お問い合わせ
日本ヒューレット・パッカードホーム
HP OpenVMS CIFS Version 1.2 ECO1: 管理者ガイド

第3章 HP CIFSの導入モデル

≫ 

OpenVMSドキュメント・ライブラリ

目次
まえがき
第1章:HP CIFS Server について
第2章:インストールおよび構成
第3章:導入モデル
第4章:Kerberosのサポート
第5章:LDAP統合のサポート
第6章:ユーザーおよびグループのマッピング
第7章:WINBINDのサポート
第8章:ユーザー,グループおよびアカウントのポリシーと信頼の管理
第9章:共有の管理
第10章:ファイルおよび印刷のセキュリティ
第11章:ツール・リファレンス
第12章:性能に関する考慮と問題解決のテクニック
第13章:SMB.CONF パラメータ
付録A:インストールの実行例
索引
PDF
OpenVMS ホーム
ここから本文が始まります

この章では,Samba ドメインモデル,HP CIFS Server のみの構成,あるいは Windows NT / Active Directory ドメインモデルのいずれかのドメインの役割に基づいて HP CIFS Server を構成する方法について説明します。

この章では次のような項目について説明します。

3.1 ドメインの役割

ここでは,それぞれ異なる役割を持ついくつかのドメイン用に HP CIFS Server を構成する方法について説明します。

3.1.1 プライマリ・ドメインコントローラ

各ドメインには,必ずプライマリ・ドメインコントローラが存在します。プライマリ・ドメインコントローラ(PDC)はドメイン内でいくつかのタスクを担当します。以下にそれらを示します。

  • ユーザログオン時の認証,およびドメインメンバーのワークステーションの認証を行います。

  • ドメインのユーザアカウントおよびグループ情報を管理します。

  • プライマリ・ドメインコントローラにドメイン管理者としてログオンしたユーザは,ドメインに所属する任意のマシンの Windows ドメインアカウント情報を追加,削除,変更できます。

  • ドメイン・マスターブラウザおよびその IP サブネットのローカル・マスターブラウザとして機能します。

3.1.2 バックアップ・ドメインコントローラ

バックアップ・ドメインコントローラ (BDC) には以下のような機能があります。

  • PDC に接続している広域ネットワーク・リンクがダウンしている場合でも,BDC を利用することにより,ユーザログオンの認証やドメインメンバーであるワークステーションの認証を行うことができます。

  • BDC は,ドメインのセキュリティとネットワークの一貫性の面で重要な役割を果たします。

  • ローカル・ネットワーク上の PDC の負荷が非常に高くなっている場合に,BDC がネットワーク・ログオン要求を引き受け,ユーザを認証できます。 これによりネットワーク・サービスの堅牢性が向上します。

  • PDC で障害が発生したり,サービスの停止が必要な場合には,BDC を PDC に昇格させることができます。 これはドメインコントローラ管理における重要な機能です。

3.1.3 ドメイン・メンバーサーバー

ドメイン・メンバーサーバーは,ドメイン・セキュリティには参加しますが,ドメインアカウント・データベースのコピーは持ちません。 各ドメイン・メンバーサーバーは別々にローカルアカウント・データベースを持ちますが,ドメインコントローラあるいはトラステッド・ドメインが管理するアカウントを利用することもできます。

  • 以下のメンバーサーバーがサポートされます。

    • Windows NT

    • Windows 2000 および Windows 2003

    • HP CIFS Server

    • Advanced Server for OpenVMS

  • ドメインユーザは,ファイル共有やプリンタ共有になどのドメイン・メンバーサーバーのリソースにアクセスすることができます。

  • メンバーサーバーは,ユーザ認証要求をドメインコントローラに渡してドメインユーザを認証します。

3.2 Windows ドメインモデル

Windows ドメインモデルは,次のような環境で使用できます。

  • Windows NT4,Advanced Server for OpenVMS,あるいは Windows 200x サーバーを (NetBIOS 機能を有効にして) 導入している。

  • ファイルおよびプリント・サービスを提供する任意の数の HP CIFS メンバーサーバーをサポートする。

  • さらに大規模な導入の場合は,複数のHP CIFS Server間のwinbind IDマップを保持するために,LDAP Enterprise Directory Serverにバックエンドストレージとしてアクセスする。

Windows ドメインモデルには次の利点があります。

  • Windowsドメインメンバーのシングルサインオン,ネットワーク・ログオン,およびWindowsアカウント管理システムを使用できる。

  • winbindを使用することで,複数のHP CIFS Server間のユーザ管理を簡単に行える。

  • 簡単に機能拡張できる。

図 3-1は,Windowsドメイン導入モデルを示しています。

図 3-1 Windowsドメイン

Windows Domain

Windows ドメインモデルでは,HP CIFS Server は,Windows NTまたはWindows 200x ドメインコントローラの管理下で,Windowsドメインにメンバーサーバーとして参加できます。 HP CIFS Server は,Windows ユーザに対して User ID (UID) および Group ID (GID) のマッピング機能を提供するために winbind をサポートしています。 大規模な導入の場合は,LDAP ディレクトリを使用することで,複数の HP CIFS Server 間でユニークな ID マップを保持することができます。

3.2.1 Windows ドメインモデルのコンポーネント

HP CIFS Server は NT ドメインメンバーシップに対して使用される NTLMv1/NTLMv2 セキュリティをサポートするため,Windows 2000/2003 ADS,Windows 200x 混在モード,あるいは NT 環境で HP CIFS Server を管理できます。 HP CIFS Serverは標準のSAMデータベースをサポートしないため,Windows NT,Windows 2000,またはWindows 2003ドメインでドメインコントローラとして参加することはできません。 HP CIFS Server は winbind をサポートします。これを使用して,OpenVMS ユーザとグループを Windows ユーザとグループのマッピングに明示的に割り当てるのを回避することができます。 winbindは,Windowsユーザに対して UID とGID の生成機能およびマッピング機能を提供します。 SMB.CONF パラメータ idmap uid = <uid range> およびidmap gid = <gid range>を設定してください。 winbindについての詳細は,第7章 「WINBIND のサポート」を参照してください。 複数のHP CIFS Serverを配備する場合は,LDAPディレクトリを使用して複数のシステム間で一意のIDマップを保持することができます。 この処理を行わないと,システム間でユーザマッピングの整合性が取れなくなります。 LDAPディレクトリ内でIDマップを一元管理するには,SMB.CONFファイル内のidmap backendパラメータをldap:ldap://<ldap server name>に設定します。

SMB.CONF パラメータ wins server = <Windows or NT WINS server address> を設定して,マルチサブネット・ネットワーク全体にアクセスできるように構成することもできます。

3.2.2 ADS ドメインモデルの例

図 3-2 は,ドメインコントローラ・マシンhpcif23,メンバーサーバーとして機能する HP CIFS Server マシン hpcif54,および Enterprise Directory Server システム hptem128 で構成される Windows 2000/2003 ADS ドメインモデルの例です。

図 3-2 ADS ドメインモデルの例

An example of the ADS Domain Model

3.2.3 HP CIFS Server をネイティブの ADS メンバーサーバーとして構成する

HP CIFS Server を ADS メンバーサーバーとして構成するには, 次の要件を満たしている必要があります。

  • HP CIFS Server が参加する Windows ドメインの PDC の完全修飾ドメイン名が, DNS サーバーを使用して IP を解決できる必要があります。

  • Kerberos のクロックスキュー・エラーを避けるために, Windows ドメインの PDC と HP CIFS Server の時間の差は 5 分未満にすべきです。

HP CIFS Server を ADS メンバーサーバーとして追加する手順は 以下のとおりです。

  1. Samba 構成ファイル SMB.CONF に次のパラメータを設定します。

    [global]
    workgroup = <NetBIOS_domain_name>
    security = domain
    domain logons = no
    domain master = no
    netbios name = <NetBIOS_name or CIFS_cluster_alisa>
    

    ネイティブの ADS メンバーサーバーとして HP CIFS Server を正しく構成するためには, 以下のパラメータを設定する必要があります。 これらのパラメータについての説明は, 2.10 項 「HP CIFS Server の構成」 を参照してください。

    security = ADS
    realm = <ADS Realm>
    password server = <Windowsドメインのドメインコントローラの大文字のFQDN>
    client schannel = <yes/no/auto>
    require strongkey = <yes/no>
    

    さらに必要に応じて,同じ [global] セクションに以下のパラメータを追加します。

    一般的な Samba 構成パラメータを指定するには,以下のパラメータを追加します。

    server string = Samba %v running on %h (OpenVMS)
    username map = /samba$root/lib/username.map
    log file = /samba$root/var/%h_%m.log
    

    ユーザおよびグループのアカウント情報を保管するための passdb バックエンドとして LDAP を使用する場合は,以下のパラメータを追加します。

    passdb backend = ldapsam:ldap://<LDAPサーバーを実行しているノード名あるいはIPアドレス>
    ldap admin dn = <LDAP Admin DN>
    ldap passwd sync = yes
    ldap suffix = <LDAP Admin DN>
    

    注記: passdb バックエンドとして使用する前に, LDAP を正しく設定しておく必要があります。 バックエンドとして LDAP を使用するように HP CIFS Server を構成する方法 については, 第5章 「LDAP統合のサポート」 を参照してください。

    HP CIFS Server を WINS クライアントとして構成して,HP CIFS Server が WINS サーバーを使用して NetBIOS 名を解決できるようにするためには, 次のパラメータを追加します。

    wins server = <WINSサーバーIPアドレス>
    name resolve order = wins, lmhosts, bcast, hosts

    CIFS が,ドメインのユーザおよびグループ・アカウントのための OpenVMS アカウントとリソース識別子を作成できるようにするには, 次のパラメータを追加します。これらは,指定しなければマッピングされません。

    idmap uid = <UID範囲>
    idmap gid = <GID範囲>
    

    idmap uid および idmap gid の範囲については, 第7章 「WINBIND のサポート」 を参照してください。

    OpenVMS ログイン・ディレクトリへのユーザ・アクセスを可能にする homes 共有を設定するには,次のパラメータを追加してください。

    [homes]
     comment = Users home share
     browseable = no
     read only = no
    
  2. testparm ユーティリティを実行して, サーバーがメンバーサーバーとして構成されていることを確認します。

    $ @SAMBA$ROOT:[BIN]SAMBA$DEFINE_COMMANDS
    $ testparm
    

  3. HP CIFS Server を ADS メンバーサーバーに加えます。

    $ net ads join --user=<username-in-domain>
    Password:
    

  4. 参加を確認します。

    $ net ads testjoin
    

  5. HP CIFS Server を開始します。

    $ @SYS$STARTUP:SAMBA$STARTUP
    

    3.3 Samba ドメインモデル

    次のような環境では Sambaドメイン導入モデルが使用できます。

    • HP CIFS Server によってドメインが構成されており,Windows ドメインコントローラが存在しない。

    • 相応数のユーザにファイルサービスとプリントサービスを提供する任意の数の OpenVMS サーバーをサポートしている。

    • 1つの HP CIFS Server がプライマリ・ドメインコントローラ (PDC) として構成されており,1 つ以上の HP CIFS Server がバックアップ・ドメインコントローラ(BDC)として動作している。

    • ドメインのアカウントは,HP OpenVMS Enterprise Directory Server などで作成された LDAP ディレクトリで管理される。

    • PDC および BDC は,ユーザの認証時などには,Samba LDAP バックエンド (ldapsam) を使用して LDAP ディレクトリサーバーにアクセスする。

    Samba ドメインモデルには次の利点があります。

    • 簡単に規模を拡張できます。

    • BDC として動作する HP CIFS Server は,ネットワーク・ログオン要求をピックアップできるので,ネットワーク上で PDC がビジー状態の場合でもユーザを認証できます。

    • PDC をサービスから除外する必要のある場合や,PDC に障害のある場合,BDC を PDC に昇格させることができます。 PDC-BDC モデルを使用すると,大規模なネットワークで認証の負荷を分散できます。

    • PDC,BDC,およびドメイン・メンバーサーバーは,アカウント・データベースを LDAP ディレクトリに保存するので,ネットワークのサイズに関係なく管理を一元化できる。

    図 3-3は,ローカルにパスワード・データベースを持つ PDC として動作するスタンドアロンの HP CIFS Server を示しています。

    図 3-3 PDC として動作するスタンドアロンの HP CIFS Server

    Standalone HP CIFS Server as a
PDC

    図 3-4 は,LDAP バックエンドとして EDS (Enterprise Directory Server) を使用し,PDC として動作するスタンドアロンの HP CIFS Server を示しています。

    図 3-4 EDS バックエンドを使用し,PDC として動作するスタンドアロンの HP CIFS Server

    Standalone HP CIFS Server as a
PDC with NDS backend

    図 3-5は,LDAP バックエンドとして EDS (Enterprise Directory Server) を使用する複数の HP CIFS Server を示しています。

    図 3-5 EDS バックエンドを使用する複数の HP CIFS Server

    EDS バックエンドを使用する複数の HP CIFS Server

    Samba ドメイン導入モデルは,プライマリ・ドメインコントローラ (PDC) として構成された1つの HP CIFS Server と,バックアップ・ドメインコントローラ (BDC) として動作する 1 つ以上の HP CIFS Server によって構成されます。 PDC,BDC,およびメンバーサーバーは,一元化された LDAP バックエンドを使用し,LDAP ディレクトリ上で CIFS アカウントを統合しています。

    3.3.1 Samba ドメインのコンポーネント

    複数のサーバーが必要とされることが多いので,このモデルではディレクトリサーバーと LDAP アクセスを使用します。 POSIX と Windows のユーザ・データを統合管理するのに LDAP サーバーを使用します。 LDAP の設定方法については,詳細は,第5章 「LDAP統合のサポート」を参照してください。

    WINS 名前解決

    マルチサブネット環境では WINS が使用されます。 マルチサブネット環境では単一の IP サブネットのブロードキャスト制限を超えるため,名前と IP アドレスのマッピングが必要になります。 PC クライアントの構成にも WINS サーバーのアドレスを指定でき,これによって IP サブネット境界の外部にあるシステムのアドレスを認識できます。 HP CIFS Server を WINS クライアントとして構成するには,SMB.CONF グローバルパラメータ wins server を使用して WINS サーバーの IP アドレスを指定します。 この際,HP CIFS Server が WINS サーバーとなることはできません。

    3.3.1.1 PDC として動作する HP CIFS Server

    PDC として構成された HP CIFS Server は,ドメイン全体の認証を担当します。 SMB.CONF グローバルパラメータ security = userdomain master = yes,および domain logons = yes を設定して,そのサーバーがドメインの PDC となるように指定してください。

    CIFS PDC の重要な特性にブラウジング制御があります。 パラメータ domain master = yes を指定すると,サーバーは,<domain name>1B という NetBIOS 名を登録します。 1B は,ドメイン・マスターブラウザ用に予約されています。 この<domain name>1Bは,他のシステムがドメインの PDC を探す際に使用されます。

    単一サーバー構成の場合は,tdbsam パスワード・バックエンドを使用することもありますが,設置する数が多い場合は,LDAP バックエンドを使用して CIFS ユーザを一元的に管理する必要があります。

    HP CIFS Server を PDC として構成する方法については, 3.3.2.1 項 「PDC として HP CIFS Server を構成」 を参照してください。

    3.3.1.1.1 制限事項

    PDC のサポートに関しては以下の制限事項があります。

    • HP CIFS Server は,SAM (Security Account Management) のアップデート・デルタ・ファイルは作成できません。 HP CIFS Server は,PDC と通信して BDC が持つデルタ・ファイルから SAM の同期化を行うことはできません。

    • HP CIFS Server PDC は BDC へのアカウント情報の複製をサポートしていません。 また,BDC を LDAP 以外のバックエンドと共に運用している場合は,SAMデータベースの同期が難しくなります。 このため,バックエンドとして LDAP を使用することをお勧めします。 LDAP を使用したドメイン構成については,『Official Samba-3 HOWTO and Reference Guide』の Table 5.1 「Domain Backend Account Distribution Option」を参照してください。

    3.3.1.2 BDC として動作するHP CIFS Server

    BDC の構成は PDC の構成とよく似ています。 SMB.CONF グローバルパラメータ security = userdomain master = no,および domain logons = yes を設定して,そのドメインの BDC としてサーバーを指定します。 これにより BDC がネットワークログイン処理の大部分を実行できるように構成することができます。 このため,ローカルネットワーク上で PDC がビジー状態の場合でも,ローカルセグメント上の BDC がログオン要求を処理し,ユーザを認証します。 セグメントの負荷が大きくなると,役割が他のセグメントの BDC や PDC に移され,負荷が分散されます。 したがって,ネットワーク全体に BDC をディプロイすることで,リソースを最適化し,ネットワークサービスの堅牢性を向上させることができます。

    SMB.CONF内でlocal masterパラメータをyesに設定すると,ブラウジングをネットワーク全体に広げることもできます。

    使用している PDC のサービスを停止させる必要のある場合や,PDC が機能しなくなった場合は,BDC の1つをPDC に昇格させることができます。BDCをPDCに昇格させるには,domain master パラメータをnoからyesに変更します。

    PDC とBDC は,一元化された LDAP ディレクトリを使用し,LDAP ディレクトリに共通の CIFS アカウントを格納します。 BDCとして動作している HP CIFS Server を LDAP ディレクトリと統合する場合は,HP LDAP ソフトウェアをインストールして,LDAP クライアントを構成する必要があります。 BDC は,Windows 認証用の LDAP ディレクトリにアクセスできます。

    HP CIFS Server を BDC として構成する方法については, 3.3.2.1 項 「PDC として HP CIFS Server を構成」 を参照してください。

    HP CIFS Server は真の SAM データベースだけでなくその複製も実装していません。 HP CIFS Server の BDC の実装は PDC と非常に良く似ていますが,重要な違いが 1 つあります。 BDC は,smb.conf パラメータ domain masterno に設定しなければならない点を除き,PDC と同じように構成されます。

    注記:
    security

    Windows ユーザ,クライアント・マシンアカウント,およびパスワードを passdb backend で保管および管理するには,このパラメータに user を設定してください。

    domain master

    HP CIFS Server を BDC として機能させるには,このパラメータに no を設定してください。

    domain logon

    netlogon サービスを提供するには,このパラメータには yes を設定してください。

    Encrypt passwords

    このパラメータに yes を設定するとユーザ認証に使用するパスワードが暗号化されます。 HP CIFS Server を BDC として構成する場合は,このパラメータに yes を設定する必要があります。

    3.3.1.2.1 BDC および PDC 間のアカウント・データベースの同期化

    Advanced Server と Windows ドメインコントローラの場合と異なり,HP CIFS PDC および HP CIFS BDC 間のユーザアカウント・データベースの自動複製機能は提供されません。 HP CIFS 環境で自動複製を実現するには LDAP サーバーの助けを必要とします。 LDAP バックエンドを使用するように HP CIFS PDC および各 HP CIFS BDC を構成することにより,LDAP サーバー間で発生する同期化の結果としてアカウント・データベースの複製が可能になります。 HP CIFS は LDAP バックエンドを使用して,LDAP ディレクトリ (HP Enterprise Directory あるいは OpenLDAP サーバー) でユーザおよびグループアカウント情報を保管および入手することができます。 1 つの LDAP サーバーを HP CIFS PDC と BDC の両方として使用することは可能ですが,可用性と性能の観点から,HP CIFS PDC と BDC には別の LDAP サーバーを使用することをお勧めします。

    passdb backend として tdbsam が指定されている場合,BDC と PDC 間の複製は下記のコマンドを実行することにより実現できます。

    NET RPC VAMPIRE -S [NT netbios name or IP] -W [domainname] -U administrator%password

    3.3.1.3 メンバーサーバーとして動作する HP CIFS Server

    HP CIFS Server は,Samba ドメインに参加させることができます。Windows の認証要求は,LDAP,tdbsam,またはその他のバックエンドを使用して,PDC または BDC によって管理されます。 サーバーをメンバーサーバーとして指定する場合は,SMB.CONF グローバルパラメータ security = domaindomain master = no,および domain logons = no を設定してください。 HP CIFS Server を Samba Domain に参加させる方法については,3.3.2.3 項 「HP CIFS Server をメンバーサーバーとして構成」 を参照してください。

    メンバーサーバーにおける SMB.CONF の構成は,PDC や BDC での構成とは異なります。 メンバーサーバーでは SMB グローバルパラメータ "security = domain" を設定する必要があります。 これにより,メンバーサーバーがドメインコントローラに認証要求を送信することが可能になります。 PDC に制御を渡すには,domain master パラメータに no を設定してください。 PDC および BDC の場合と同様に,passdb backend パラメータに tdbsam を設定するとローカルの HP CIFS Server データベースにメンバーサーバー・アカウントが保管され,ldapsam を設定すると HP Enterprise Directory Server for OpenVMS などで作成された LDAP ディレクトリにアカウントが保管されます。

    3.3.1.4 スタンドアロン・サーバーとして HP CIFS Server を構成

    スタンドアロン・サーバーはネットワーク上でドメインコントローラには依存しません。 定義によると,これは,ユーザおよびグループがローカルに作成および制御され,ネットワーク・ユーザ ID がローカルユーザ・ログインと一致しなければならないことを意味します。 サーバーをスタンドアロン・サーバーとして指定するには,SMB.CONF グローバルパラメータ security = user および and domain logons = no を設定してください。

    3.3.2 HP CIFS Server を手動で構成する

    HP CIFS Server は,3.1 項 「ドメインの役割 」 で説明している種々の役割を持つように, 自動構成ユーティリティを使用して, あるいは Samba 構成ファイルを手動で編集して構成できます。 HP CIFS Server の構成に使用できる Samba 構成ユーティリティは SAMBA$ROOT:[BIN]SAMBA$CONFIG.COM です。 このユーティリティを使用して HP CIFS Server を構成する方法については, 2.10 項 「HP CIFS Server の構成」 を参照してください。

    以下の項では, Samba 構成ファイル SAMBA$ROOT:[LIB]SMB.CONF を手動で編集して HP CIFS Server を構成する手順を説明しています。 このファイルには, HP CIFS Server を種々の役割を持つように構成するのに必要な Samba 構成パラメータとその値が記述されています。 同じパラメータを SWAT ユーティリティから選択して HP CIFS Server を構成することもできます。

    注記: 以降の項で説明するパラメータについての詳細は, 2.10 項 「HP CIFS Server の構成」 を参照してください。

    3.3.2.1 PDC として HP CIFS Server を構成

    HP CIFS Server を PDC として構成する手順は以下のとおりです。

    1. SMB.CONF ファイルに 以下のパラメータを追加します (山括弧 < > で示した箇所は適切な値で置き換えます)。

      [global]
       workgroup = <NetBIOS ドメインあるいはワークグループ名>
      security = user
       domain logons = yes
       domain master = yes
      netbios name = <NetBIOS コンピュータあるいはクラス別名>
      add user to group script = @samba$root:[bin]samba$addusertogroup %g %u
       delete user from group script = @samba$root:[bin]samba$deluserfromgroup %g %u
      

      さらに,必要に応じて同じ [global] セクションに次のパラメータを追加します。

      一般的な Samba 構成パラメータを指定する場合は,下記のように追加します。

      server string = Samba %v running on %h (OpenVMS)
       username map = /samba$root/lib/username.map
       log file = /samba$root/var/%h_%m.log
      

      ユーザおよびグループ・アカウント情報を保管するための passdb バックエンドとして LDAP を使用するためには,次のパラメータを追加します。

      passdb backend = ldapsam:ldap://<LDAPサーバーを実行しているノード名あるいはIPアドレス>
      ldap admin dn = <LDAP Admin DN>
      ldap passwd sync = yes
       ldap suffix = <LDAP Admin DN>
      
      注記: LDAP を passdb バックエンドとして使用する前に LDAP の設定を行う必要があります。 バックエンドとして LDAP を使用して HP CIFS Server を構成する方法については, 第5章 「LDAP統合のサポート」 を参照してください。

      ワークスステーションをドメインに参加させるために, 次のパラメータを追加して WINBIND マッピングを有効にします。

      idmap uid = <UID範囲>
      idmap gid = <GID範囲>
      
      注記: idmap uid および idmap gid パラメータについての詳細は,第7章 「WINBIND のサポート」 を参照してください。

      HP CIFS Server を WINS クライアントとして構成して HP CIFS Server が WINS を使用して NetBIOS 名を解決できるようにするには, 以下のパラメータを追加します。

      wins server = <WINServer1 IPアドレス> <WINServer2 IPアドレス>
      name resolve order = wins, lmhosts, bcast, hosts
      

      プロファイルのローミングを有効にするには,次のように追加してください。

      logon path = \\%L\profiles\%U

      プロファイルのローミングについては,3.3.2.1.2 項 「ローミングプロファイル」 を参照してください。 3.3.2.1.2 項 で説明するように, SMB.CONF に [PROFILES] 共有を追加することもできます。

      ユーザがドメインにログインする際に実行する netlogon スクリプトを指定するには, 次のようなパラメータを追加します。

      logon script = <ログオン・スクリプトのパス>
      

      ドメインへのユーザログイン時にユーザログオン・スクリプトが 実行されるように netlogon 共有を設定るるには, 以下のパラメータを追加します。

      [netlogon]
       comment = Netlogon share
       path = /samba$root/netlogon
       read only = yes
       browseable = no
       guest ok = yes
       vms path names = no
       write list = @administrators, cifsadmin
      

      netlogon 共有についての詳細は, 3.3.2.1.3 項 「ユーザログオン・スクリプトの構成」 を参照してください。

      ユーザが OpenVMS ログイン・ディレクトリにアクセスできるようにするための homes 共有の設定には,次のパラメータを追加します。

      [homes]
       comment = Users personal share
       browseable = no
       read only = no
      
    2. testparm ユーティリティを実行して,サーバーが PDC として構成されていることを確認します。

      $ @SAMBA$ROOT:[BIN]SAMBA$DEFINE_COMMANDS
      $ testparm
      

    3. 次のコマンドを実行して HP CIFS Server を起動します。

      $ @SYS$STARTUP:SAMBA$STARTUP
      

    3.3.2.1.1 HP CIFS ドメインへの Windows クライアントの追加

    ここでは,HP CIFS PDC を持つドメインへ Windows クライアントを追加する方法について説明します。

    1. Windows クライアント用の OpenVMS アカウントを作成します。 アカウント名はクライアント・コンピューターと同じにし,ドル記号($)を後に1つ付与する必要があります。 このドル記号はこのアカウントがマシンアカウントであることを示しています。 次に例を示します。

      $ MC AUTHORIZE ADD winstatn01$$ /FLAG=NODISUSER/UIC=[1000,1]
      

      注記: HP CIFS Server が PDC として構成されている場合,HP CIFS Server PDC に追加するワークステーション名は 11 文字を超えてはいけません。 この制限は,OpenVMS ユーザ名の長さが SYSUAF データベースで 12 文字に制限されているために存在します。
    2. クライアント・コンピューター用の HP CIFS マシンアカウントを作成します。 pdbedit ツールを使用してアカウントを作成し,それがマシンアカウントであることを指定します(マシン名の末尾にはドル記号は含めないでください。ドル記号は pdbedit が自動的に追加します)。 このアカウント名は,上記の手順 1 でそのマシンに対して作成された OpenVMS アカウントと同一でなければなりません。

      $ pdbedit -am winstatn01
      

      このアカウントは他のアカウントと同じように表示することができますが,その際はドル記号を含む完全なアカウント名を指定する必要があります。次に例を示します。

      $ pdbedit --list --verbose winstatn01$
      

      注記: Samba 構成ファイル SMB.CONF で 有効な範囲の idmap uid および idmap gid が指定されている場合, 手順 1 および 手順 2 は省略できます。
    3. アカウントを作成した後,ドメインへ Windows ワークステーションを追加できます。 Windows クライアントから以下の手順を実行してください。

      1. 任意のユーザとしてログインします。

      2. マイ コンピューター」 右クリックし,「プロパティ」を選択します。

      3. コンピュータ名」タブを選択します。

      4. 変更」ボタンをクリックします。

      5. "次のメンバー" セクションで「ドメイン」オプションを選択し,HP CIFS ドメインの NetBIOS ドメイン名を指定します。 「OK」をクリックします。

      6. プロンプトに対してドメイン管理者の認証情報を入力します。 成功したら,システムは welcoming you to the domain メッセージを表示します。 「OK」をクリックします。

      7. OK」 をクリックし,システムリブートに関するメッセージに同意します。

      8. OK」 のクリックにより,名前の変更が完了しリブートが行われます。

        システムリブートの後,Windows Security ログイン・スクリーンが表示されます。 ドメインの 'username' および 'password' を入力してください。 「Logon to 」ドロップダウン・ボックスからドメイン名を選択します。 「Logon to」ボックスが存在しない場合,「Options」ボタンをクリックして表示させてください。

    3.3.2.1.2 ローミングプロファイル

    PDCとして構成されたHP CIFS Serverは,以下の特徴を持つローミングプロファイルをサポートしています。

    • ユーザの環境設定,基本設定,デスクトップ設定などがHP CIFS Serverに保存されます。

    • ローミングプロファイルは共有として作成でき,Windowsクライアント間で共有可能です。

    • ユーザがドメイン内のワークステーションにログオンした場合,PDCとして構成されたHP CIFS Serverの共有からローカル・マシンにローミングプロファイルがダウンロードされます。 ログアウト時には,ローカル・マシンのプロファイルがサーバーにコピーされます。

    3.3.2.1.2.1 ローミングプロファイルの構成

    ローミングプロファイルの構成手順は以下のとおりです。

    1. SMB.CONFファイルのグローバルパラメータlogon pathを使用して,ローミングプロファイルを変更または使用可能にします。例を次に示します。

      [global]
       #%L substitutes for this server's NetBIOS name, %U is the user name
       logon path = \\%L\profiles\%U 
      

    2. ローミングプロファイル用の[profiles]共有を作成します。ユーザプロファイル・ファイル用に使われるプロファイル共有に対して,profile acls = yesを設定します。 通常の共有では,共有上に作成されるファイルの所有権が不正なものとなるため,profile acls = yesを設定しないでください。 [profiles]共有の構成例を以下に示します。

      [profiles]
       profile acls = yes
       path = /samba$root/profiles
       read only = no
       create mode = 04600
       directory mode = 04770  
       writeable = yes
       browseable = no
       guest ok = no
       vms path names = no
      

      注記: SAMBA$CONFIG.COM ユーティリティを使用して HP CIFS Server を構成している場合は, デフォルトで PROFILES 共有を追加できます。
    3.3.2.1.3 ユーザログオン・スクリプトの構成

    ユーザログオン・スクリプトの構成は,以下の要件を満たしている必要があります。

    • ユーザログオン・スクリプトは,HP CIFS Server上のファイル共有[netlogon]に保存されている必要があります。

    • OpenVMS 実行可能権限が設定されている必要があります。

    • ログオン・スクリプトには,Windowsクライアントが認識できる有効なコマンドが含まれていなくてはなりません。

    • ログオン・スクリプトを実行するログオン・ユーザは,適切なアクセス権限を持っている必要があります。

    ユーザ・ログイン・スクリプトの構成例を以下に示します。

    [global]
     logon script = %U.bat
    [netlogon]
     path = /samba$root/netlogon
     browseable = no 
     guest ok = no
    

    注記: SAMBA$CONFIG.COM ユーティリティを使用して HP CIFS Server を構成している場合は, デフォルトで NETLOGON 共有が追加されます。

    3.3.2.2 HP CIFS Server を BDC として構成する

    HP CIFS Server を BDC として構成するには,以下の手順を実行します。

    1. Samba 構成ユーティリティ SMB.CONF で以下のパラメータを設定します。

      [global]
       workgroup = <NetBIOSドメイン名>
       security = user
       domain logons = yes
       domain master = no
       netbios name = <NetBIOSコンピュータあるいはクラスタ別名>
       add user to group script = @samba$root:[bin]samba$addusertogroup %g %u
       delete user from group script = @samba$root:[bin]samba$deluserfromgroup %g %u
      

      さらに,必要に応じて同じ [global] セクションに以下のパラメータを追加します。

      一般的な Samba 構成パラメータを追加するために以下のように追加します。

      server string = Samba %v running on %h (OpenVMS)
      username map = /samba$root/lib/username.map
      log file = /samba$root/var/%h_%m.log
      

      ユーザおよびグループ・アカウント情報を保管するための passdb バックエンドとしてデフォルトの SAM データベースバックアップ (tdbsam) の代わりに LDAP を使用する場合,以下のパラメータを追加します。

      passdb backend = ldapsam:ldap://<LDAPサーバーを実行しているノード名あるいはIPアドレス>
      ldap admin dn = <LDAP Admin DN>
      ldap passwd sync = yes
      ldap suffix = <LDAP Admin DN>
      
      注記: passdb backend として使用する前に, LDAP を正しく設定しておく必要があります。 LDAP をバックエンドとして使用するための HP CIFS Server の構成に関する情報については, 第5章 「LDAP統合のサポート」 を参照してください。

      PDC からアカウントを複製するには, 以下のパラメータを追加することにより WINBIND マッピングを有効にします。

      idmap uid = <UID range>

      idmap gid = <GID range>

      注記: idmap uid および idmap gid パラメータについての情報は,第7章 「WINBIND のサポート」 を参照してください。

      (HP CIFS Server が WINS を使用して NetBIOS 名を解決できるように) HP CIFS Server を WINS クライアントとして構成するには, 以下のパラメータを追加します。

       wins server = <WINSサーバーIPアドレス>
       name resolve order = wins, lmhosts, bcast, hosts
      

      ドメインへのユーザ・ログイン時に実行される netlogon スクリプトを指定するには, 次のように追加します。

      logon script = <ログオン・スクリプトのパス>
      

      ドメインへのユーザ・ログイン時にユーザ・ログオン・スクリプトを実行できるように netlogon 共有を設定するには,次のように追加します。

      [netlogon]
       comment = Netlogon share
       path = /samba$root/netlogon
       read only = yes
       browseable = no
       guest ok = yes
       vms path names = no
      

      netlogon 共有についての詳細は, 3.3.2.1.3 項 「ユーザログオン・スクリプトの構成」 を参照してください。

      ユーザが OpenVMS ディレクトリに追加できるように homes 共有を設定するには,次のように追加します。

      [homes]
       comment = Users share	
       browseable = no
       read only = no
      
    2. testparm ユーティリティを実行して サーバーが BDC として構成されていることを確認します。

      $ @SAMBA$ROOT:[BIN]SAMBA$DEFINE_COMMANDS
      $ testparm
      

    3. WINS クライアントとしては構成されておらず, ドメイン PDC が HP CIFS Server BDC とは別のサブネットの場合, BDC の SAMBA$ROOT:[LIB]LMHOSTS. ファイルに 次の 3 つのエントリが含まれている必要があります。

      <PDC-IP-Address> <PDCname>
      <PDC-IP-Address> <Domainname>#1b
      <PDC-IP-Address> <Domainname>#1c
      

      <PDC-IP-Addess> にはドメイン PDC の IP アドレスを指定し, <PDCname> には PDC のコンピュータ名を指定し, <Domainame> には SMB.CONF の workgroup パラメータに指定されている名前を指定します。

      たとえば,HP CIFS ドメイン VMSCIFSDOM の HP CIFS Server PDC の名前が ROX3 で,その IP アドレスが 10.20.20.40 の場合, 次のような LMHOSTS. エントリが必要になります。

      10.20.20.40 VMSCIFSDOM#1b
      10.20.20.40 VMSCIFSDOM#1b
      10.20.20.40 ROX3
      
    4. 管理者認証情報とともに PDC の名前を指定して NET RPC JOIN コマンドを実行し,ドメインに参加します。 以下に例を示します。

      $ net rpc join -S <PDCname> --user administrator
      Password:
      

    5. 次のコマンドで参加を確認します。

      $ net rpc testjoin
      

    6. 次のコマンドで HP CIFS Server を起動します。

      $ @SYS$STARTUP:SAMBA$STARTUP
      

    7. HP CIFS Server BDC を構成し起動した後, BDC,PDC,および BDC 間でアカウント・データベースを同期化する必要があります。 同期化の方法については 3.3.1.2.1 項 「BDC および PDC 間のアカウント・データベースの同期化」 を参照してください。

    3.3.2.3 HP CIFS Server をメンバーサーバーとして構成

    ここでは,HP CIFS Server をドメインへ参加させる手順を説明します。 ドメインのメンバーとなるためには,そのドメインで HP CIFS Server がアカウントを必要とします。 このアカウント名は,SMB.CONF ファイルの "netbios name" パラメータで定義された HP CIFS Server の NetBIOS 名と一致する必要があります。 "netbios name" パラメータがデフォルト値である %h に設定されている場合,この環境変数 %h はローカル・システムのホスト名に変換されます。 アカウント名にはドル記号が追加され,それがマシンアカウントであることが明示されます。 複数のクラスタ・メンバーが同じ SMB.CONF ファイルを共有する HP CIFS クラスタ環境では,そのクラスタに対する単一のマシンアカウントが必要になり,その名前は SMB.CONF ファイルの "netbios name" パラメータで指定した値と一致しなければなりません。

    マシンアカウントは,HP CIFS Server をドメインに追加する前か,HP CIFS Server をドメインに追加する最中のいずれかのタイミングで作成されます。 前者の場合,管理者は次に示すように適切な方法を使用して,PDC タイプに依存するドメインにコンピューターを追加します。

    • Windows Active Directory Domain (Windows 2000 以降)

      「Active Directory Users and Computers」管理インタフェースを使用して,新しいコンピューターアカウントを追加します。 「Add Computer」ウィザードで,HP CIFS Server の NetBIOS 名 (ドル記号は省略) を指定し,「Assign this computer account as a pre-Windows 2000 computer」チェック・ボックスのみを選択します。

    • Advanced Server for OpenVMS

      ADMIN インタフェースを使用して,次のようにコンピューターアカウントを追加します。

      $ ADMIN ADD COMPUTER/TYPE=SERVER <CIFS server name>
      
      上記の例で,最後の$記号は自動的に追加されるので指定しません。

    • HP OpenVMS CIFS

      3.3.2.1.1 項 「HP CIFS ドメインへの Windows クライアントの追加」で説明した方法で,OpenVMS アカウントと CIFS マシンアカウントを追加します。

    • Windows NT PDC

      Server Manager アプリケーションを使用してドメインにコンピューターを追加できます。 トップ・メニューから,「Computer」を選択し「Add to Domain」を選択します。 「Windows NT Workstation or Server」ラジオ・ボタンをクリックし,HP CIFS Server の NetBIOS 名 (ドル記号は省略) を指定して「Add」 をクリックします。

    HP CIFS Serverがドメインに参加する前にコンピューターアカウントが作成されている場合,HP CIFS Serverの管理者は,ドメインにコンピューターを追加するための権限を持つアカウントのドメイン・ユーザ名とパスワードを指定する必要はありません。

    ドメインに参加する前に HP CIFS Serverのコンピューターアカウントが作成されていない場合,管理者は,ドメインにコンピューターを追加するための権限を持つドメインアカウントのユーザ名とパスワードを指定する必要があります。 たとえば Administrator アカウントなど。

    3.3.2.3.1  HP CIFS Server を NT スタイル (ダウンレベル) メンバーサーバーとしてドメインに追加する

    HP CIFS Server を NT スタイル (ダウンレベル) メンバーサーバーとしてドメインに追加するには, 以下の手順を実行します。

    1. Samba 構成ユーティリティ・ファイル SMB.CONF に以下のパラメータを設定します。

      [global]
      
      workgroup = <NetBIOSドメイン名>
      security = domain
      domain logons = no
      domain master = no
      netbios name = <NetBIOS名あるいはCIFSクラスタ別名>
      

      HP CIFS Server をそのドメインの NT スタイル (ダウンレベル) のメンバーサーバー として正しく構成するためには, 以下のようなパラメータが必要になります。

      これらのパラメータについては, 2.10 項 「HP CIFS Server の構成」 を参照してください。

      password server = <パスワード・サーバー名>
      client schannel = <yes/no/auto>
      require strongkey = <yes/no>
      vms asv domain = <yes/no>
      

      さらに,必要に応じて同じ [global] セクションに 以下のパラメータを追加してください。

      一般的な Samba 構成パラメータを指定するには,以下のように追加します。

      server string = Samba %v running on %h (OpenVMS)
      username map = /samba$root/lib/username.map
      log file = /samba$root/var/%h_%m.log
      

      ユーザおよびグループ・アカウント情報を保管するための passdb バックエンドとして LDAP を使用するには,以下のパラメータを追加します。

      passdb backend = ldapsam:ldap://<LDAPサーバーを実行しているノード名あるいはIPアドレス>
      ldap admin dn = <LDAP Admin DN>
      ldap passwd sync = yes
      ldap suffix = <LDAP Admin DN>
      

      注記: passdb バックエンドとして使用する前に, LDAP は正しく設定しておく必要があります。 バックエンドとして LDAP を使用するように HP CIFS Server を構成する方法については,第5章 「LDAP統合のサポート」 を参照してください。

      HP CIFS Server が WINS サーバーを使用して NetBIOS 名を解決できるように HP CIFS Server を WINS クライアントとして構成するには, 以下のパラメータを追加します。

      wins server = <WINSサーバーIPアドレス>
      name resolve order = wins, lmhosts, bcast, hosts
      

      ドメイン・ユーザおよびグループ・アカウントに対する OpenVMS アカウントとリソース識別子は 明示的にはマッピングされませんが, CIFS がこれらを作成できるようにするには, 以下のようなパラメータを含めます。

      idmap uid = <UID範囲>
      idmap gid = <GID範囲> 
      

      注記: idmap uid および idmap gid の範囲については, 第7章 「WINBIND のサポート」 を参照してください。

      OpenVMS ログイン・ディレクトリに対するユーザ・アクセスを可能にするために homes 共有を設定するには, 次のように追加してください。

      [homes]
      	comment = Users home share
      	browseable = no
      	read only = no
      
    2. testparm ユーティリティを実行して, サーバーがメンバーサーバーとして構成されていることを確認してください。

      $ @SAMBA$ROOT:[BIN]SAMBA$DEFINE_COMMANDS
      $ testparm
      
    3. WINS クライアントとして構成されておらず, ドメイン PDC が HP CIFS Server と同じ IP サブネットに存在しない場合, SAMBA$ROOT:[LIB]LMHOSTS. ファイルに次のようなエントリが必要になります。

      <PDCのIPアドレス> <ドメイン名>#1b
      <PDCのIPアドレス> <ドメイン名>#1c
      <PDCのIPアドレス> <PDC名>
      

      たとえば,ドメイン ACCOUNTSDOM の PDC の名前が PIANO でその IP アドレスが 10.20.30.40 の場合, 次のような LMHOSTS. エントリを追加する必要があります。

      10.20.30.40 ACCOUNTSDOM#1b
      10.20.30.40 ACCOUNTSDOM#1c
      10.20.30.40 PIANO
      
    4. 次のように,HP CIFS Server を NT スタイル (ダウンレベル) のメンバーサーバーとして参加させます。

      $ net rpc join -S <PDC name> --user=<domain administrator account name>
      Password:
      
    5. 参加を確認します。

      $ net rpc testjoin
      注記: HP CIFS Server をネイティブな Active Directory メンバーサーバーとして構成するには,3.2.3 項 「HP CIFS Server をネイティブの ADS メンバーサーバーとして構成する 」 を参照してください。
    6. HP CIFS Server を起動します。

      $ @SYS$STARTUP:SAMBA$STARTUP
      
    注記:
    1. NET RPC JOIN コマンドを実行する前に HP CIFS を開始する必要はありません。

    2. 前述のように,このコマンドは,WINS (SMB.CONF に有効な wins サーバー・エントリが含まれる場合),lmhosts. ファイルのエントリ,あるいはローカル・サブネットにおけるブロードキャストなどの標準の NetBIOS 名前解決手法を使用してドメインの PDC を探す機能に依存しています。 NetBIOS 名前解決が有効かどうかを確認するには,第11章 「管理ツールのコマンド・リファレンス」 で説明する nmblookup ツールを使用してください。

    3. 別の方法として,NET RPC JOIN には,ドメイン PDC の名前 (--server) あるいは IP アドレス (--ipaddress) を指定するためのオプションが用意されています。 名前が指定されている場合,NET RPC JOIN は NetBIOS 名前解決を使用してその IP アドレスを解決します。

    4. NET RPC JOIN コマンドは,SMB.CONF ファイルに指定されている場合 "password server" パラメータを使用しません。

    5. ドメインに参加した後,サーバーがドメインに正しく参加しているかどうか確認するには,NET RPC TESTJOIN コマンドを使用してください。

    3.3.2.4  HP CIFS Server をスタンドアロン・サーバーとして構成する

    HP CIFS Server をスタンドアロン・サーバーとして構成するには,以下の手順を実行します。

    1. Samba 構成ファイル SMB.CONF に以下のパラメータを設定します。

      [global]
       workgroup=<NetBIOSワークグループ名>
       security =user
       domain logons = no
       domain master = no
       netbios name = <NetBIOSコンピュータあるいはクラスタ別名>
      

      さらに,必要に応じて同じ [global] セクションに以下のパラメータを追加します。

      一般的な Samba 構成パラメータを指定するには,次のように追加します。

      	server string = Samba %v running on %h (OpenVMS)
      	username map = /samba$root/lib/username.map
      	log file = /samba$root/var/%h_%m.log
      

      ユーザおよびグループ・アカウント情報を保管するための passdb バックエンド として LDAP を追加するには, 以下のパラメータを追加します。

      passdb backend = ldapsam:ldap://<LDAPを実行しているノードの名前あるいはIPアドレス>
      	ldap admin dn = <LDAP Admin DN>
      	ldap passwd sync = yes
      	ldap suffix = <LDAP Admin DN>
      

      注記: passdb バックエンドとして使用する前に, LDAP は正しく設定しておく必要があります。 バックエンドとして LDAP を使用するように HP CIFS Server を構成する方法については, 第5章 「LDAP統合のサポート」 を参照してください。

      WINS を使用して NetBIOS 名を解決できるように HP CIFS Server を WINS クライアントとして構成するには, 以下のパラメータを追加します。

      wins server = <WINSサーバーIPアドレス>
      	name resolve order = wins, lmhosts, bcast, hosts
      

      ユーザが OpenVMS のログイン・ディレクトリにアクセスできるように homes 共有を設定するには, 以下のように追加してください。

      [homes]
      	comment = Users home share
      	browseable = no
      	read only = no
      
    2. スタンドアロンの HP CIFS Server では WINBIND は必要ないため, 以下のシステム論理名を定義して WINBIND を無効にします。

      $ DEFINE/SYSTEM WINBINDD_DONT_ENV 1
      

      注記: システムをリブートしても論理名が存続し続けるように, SYS$MANAGER:SYLOGICALS.COM に上記の行を追加してください。
    3. testparm ユーティリティを実行して, サーバーがスタンドアロン・サーバーとして構成されていることを確認してください。

      $ @SAMBA$ROOT:[BIN]SAMBA$DEFINE_COMMANDS
      $ testparm
      

    4. HP CIFS Server を起動します。

      $ @SYS$STARTUP:SAMBA$STARTUP
      

    印刷用画面へ
    プライバシー 本サイト利用時の合意事項
    © 2011 Hewlett-Packard Development Company, L.P.