2012年1月 6日

[samba-jp:21645] Re:[Q] Windows 7からの権限追加について

たかはしもとのぶ様

佐藤です。

先日はアドバイスありがとうございました。

本日検証した結果をご報告いたします。
可能であれば、以下のことについてご教示いただけますでしょうか?


(1) 現行の検証では1のようになりました。たかはしさまのご理解と、
相違点がございますでしょうか?
(2) たかはしさまの環境では、ldapsam:trusted=no利用時に、サーバ上の
ユーザ・グループを一覧表示することができましたでしょうか?

よろしくお願いします。

1, 現状の検証結果

[プロパティ] -> [セキュリティ] -> [編集] -> [追加] ->
 [詳細設定] -> [検索]で、サーバ上に登録したユーザ、グループが表示される条件

(1) サーバとクライアントのユーザ登録

・サーバとクライアントが同一ドメインに所属していること。

・同一ドメインに所属していない場合、サーバ、クライアントの登録ユーザが
 同一ユーザ名・パスワードであること

(2) Sambaのユーザ情報の格納先

tdbsam: OK
ldapsam:trusted=no : NG?
ldapsam:trusted=yes : 未検証

2, Windows Server 2008での検証結果

Windows Server 2008を用いて、ファイル共有のみ設定
ユーザはローカルアカウントとして登録

サーバOS: Windows 2008 Server
クライアントOS: Windows 7
Active Directory: 構築しない


(0) プロパティのオブジェクトの種類と選択の表示
ユーザ、グループ、またはビルトインセキュリティプリンシパルと表示される

(1) サーバクライアント間でユーザ名・パスワードが同一の場合

検索結果
サーバ上に登録したユーザ・グループが表示される

(2) サーバクライアント間でユーザ名は同一だがパスワードが別の場合

検索結果
サーバ上に登録したユーザ・グループが表示されない

(3) サーバクライアント間でユーザ名、パスワードともに違う場合

検索結果
サーバ上に登録したユーザ・グループが表示されない


特記事項

いずれのケースも、検索ボタンを押すと、ユーザ名とパスワードの入力を促される。
(1)の場合はパスワードを間違えても、ユーザの一覧が表示される。


3, Sambaでの検証結果 : LDAP未使用(tdbsam)

サーバOS: Scientific Linux 6.1
Samba: 3.5.6
クライアント: Windows 7
設定

Server role: ROLE_STANDALONE
[global]
workgroup = EXAMPLE
server string = Samba Server Version %v
log file = /var/log/samba/log.%m
max log size = 500000
load printers = No
admin users = administrator
printing = bsd
cups options = raw
print command = lpr -r -P'%p' %s
lpq command = lpq -P'%p'
lprm command = lprm -P'%p' %j

[share]
comment = Share
path = /home/share
valid users = @group1
read only = No

pdbeditでユーザを登録、
net groupmap でグループを登録

(0) プロパティのオブジェクトの種類と選択の表示

ユーザ、グループ、またはビルトインセキュリティプリンシパルと表示される

(1) サーバクライアント間でユーザ名・パスワードが同一の場合

検索結果
サーバ上に登録したユーザ・グループが表示される

(2) サーバクライアント間でユーザ名は同一だがパスワードが別の場合

検索結果
サーバ上に登録したユーザ・グループが表示されない

(3) サーバクライアント間でユーザ名、パスワードともに違う場合

検索結果
サーバ上に登録したユーザ・グループが表示されない


特記事項

いずれのケースも、検索ボタンを押すと、ユーザ名とパスワードの入力を促される。
(1)の場合はパスワードを間違えても、ユーザの一覧が表示される。

4, Sambaでの検証 : LDAPあり (ldapsam:trusted=no)

サーバOS: Scientific Linux 6.1
Samba: 3.5.6
クライアント: Windows 7

ldapsam + smbldap-toolsを使ってユーザを登録


設定

[global]
workgroup = EXAMPLE
server string = Samba Server Version %v
passdb backend = ldapsam:ldap://ldap.example.com
log level = 3
log file = /var/log/samba/log.%m
max log size = 50
domain logons = Yes
os level = 32
preferred master = Auto
wins support = Yes
ldap admin dn = cn=Manager,dc=example,dc=com
ldap delete dn = Yes
ldap group suffix = ou=groups
ldap machine suffix = ou=computers
ldap passwd sync = yes
ldap suffix = dc=example,dc=com
ldap ssl = no
ldap user suffix = ou=users
admin users = @group1
cups options = raw
dos filemode = Yes

[share]
comment = Share
path = /home/share
valid users = root
read only = No

smbldap-toolsでユーザ・グループを登録


(0) プロパティのオブジェクトの種類と選択の表示

ビルトインセキュリティプリンシパルと表示される

(1) サーバクライアント間でユーザ名・パスワードが同一の場合

検索結果
検索結果は表示されない

(2) サーバクライアント間でユーザ名は同一だがパスワードが別の場合

検索結果
検索結果は表示されない

(3) サーバクライアント間でユーザ名、パスワードともに違う場合

検索結果
検索結果は表示されない。


5, その他

ldapsam利用時に、SambaとWindows7を同一ドメインにするのはまだ未検証です。


2012年1月6日9:18 Hiroyuki Sato <hiroysato@xxxxx>:
> たかはしもとのぶ様
>
> 佐藤です。
> アドバイスありがとうございます。
>
> アドバイスに従って切り分けをしたいと思います。
> できればドメインには参加させずに実現したいと思っています。
>
> ありがとうございました。
>
>
> 2012年1月6日2:17 TAKAHASHI Motonobu <monyo@xxxxx>:
>> たかはしもとのぶです。
>>
>> From: Hiroyuki Sato <hiroysato@xxxxx>
>> Date: Thu, 5 Jan 2012 21:31:19 +0900
>>
>>> 1, 実現したいこと
>>>
>>>  (1) Sambaでサーバを構築する
>>>  (2) Windows 7から、Sambaのサーバに接続し、ファイルを選択
>>>  [プロパティ] -> [セキュリティ] -> [編集] -> [追加] ->
>>>  [詳細設定] -> [検索]にて、Samba上に登録したユーザを検索し
>>>  ファイル読み書き等の権限を追加したい。
>>>
>>> 2, 問題点
>>>
>>>  (1) 上記1-(2)にて、権限を設定するユーザの検索をしても指定した
>>>  ユーザが見つからないとエラーになってしまう。
>>
>> smb.conf をみる限り、Samba はドメインコントローラとして設定されていま
>> すが、
>>
>>> (2) クライアント
>>> OS: Windows 7 Professional
>>> ドメイン: WORKGROUP デフォルトのまま
>>
>> ということは、クライアントはドメインには参加していないということでしょ
>> うか。
>>
>> 基本的には Samba ユーザとして登録されているユーザは選択可能な筈ですが、
>> 切り分けという意味では、
>>
>> 1) Windows 7 をドメインに参加させた場合にどうなるか
>>
>> 2) ドメインに参加させない場合でも、Samba サーバ上に存在するのと同じユー
>> ザ名、パスワードで Windows 7 にログオンしてダイアログを開いた際にも
>> Samba ユーザが表示されないかを確認していただければと思います。
>>
>> ---
>> TAKAHASHI Motonobu <monyo@xxxxx>
>
>
>
> --
> Hiroyuki Sato

--
Hiroyuki Sato


投稿者 xml-rpc : 2012年1月 6日 19:46
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/108044
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。