[samba-jp:18777] Re: [FYI] Samba 3.0.23 Available for Download

TAKAHASHI Motonobu monyo @ monyo.com
2006年 7月 12日 (水) 01:04:36 JST


たかはしもとのぶです。

|From: oota @ mail.linux.bs1.fc.nec.co.jp
|Subject: [samba-jp:18771] [FYI] Samba 3.0.23 Available for Download
|Date: Tue, 11 Jul 2006 07:36:14 +0900
|
|> 太田@NEC です。
|> 
|> なんとか3.0.23がでました。

とりあえず、リリースノートを翻訳しました。

-----
===============================================================
リリース・アナウンスメント
==========================
 
これは Samba の安定版リリースの最新のものであり、現在確認済のバグを修
正するために、実運用しているSambaサーバで実行すべきリリースとなります。
新機能や以前のバージョンとの動作変更点についての詳細は、以下に記載する
変更点を参照してください。

本バージョンの開発過程においては、非常に大規模なコードの整理が行なわれ
ました。Samba のソースコード解析について、Coverity
(http://www.coverity.com/) および Klocwork (http://www.klocwork.com/)
の両者に感謝します。この作業により、今回のリリースでは 400 以上の問題
点に対する対処が行なわれています。各ツールにより、各々 200 以上の問題
点が発見されました。

本リリースの評価に時間を使い、気づいた点を報告してくださった方々に大変
感謝します。多くの報告をしてくださった Thomas Bork 氏には特に感謝致し
ます。彼の努力のおかげで最終的なリリースが多くの点で非常に改善されたと
確信しています。

Samba 3.0.23 の新機能を以下に示します。

   o 「make test」の機能強化
   o winbindd にオフラインモードを追加
   o pam_winbind.so に Kerberos のサポートを追加
   o 対応づけのできないユーザおよびグループへの対処を追加
   o root 権限を必要としない共有管理ツールの追加
   o ローカルグループおよびビルトイングループのサポート強化
   o Windows Server 2003 R2 でサポートされた RFC2307 のスキーマオブジェ
     クトを Winbind の IDMAP 機能がサポート
   o Windows XP のドメイン参加に管理者権限が不要となるように見せかける
     ための「net ads join」コマンドの書き直し


ユーザおよびグループに関する変更点
==================================

ユーザおよびグループの内部的な管理ルーチンは、RID (Relative
Identifiers) の割り当てが重複しないようにするため、書き直されました。
以前は、「net groupmap」コマンドを用いて手作業で UNIX グループのマッピ
ングを行なったり、「net rpc vampire」コマンドを用いて Windows ドメイン
を Samba ドメインに移行したりした際に、問題が発生する可能性がありまし
た。

マッピングされなかったユーザには S-1-22-1 ドメインの SID が割り当てら
れるようになり、マッピングされなかったグループには S-1-22-2 ドメインの
SID が割り当てられるようになりました。以前は、Samba サーバの SAM の
RID が割り当てられていました。これにより、DC の場合はドメインの SID の
権限が与えられ、メンバサーバやスタンドアロンサーバでは、ローカルの SAM
上の SID の権限が与えられていました(「net getlocalsid」コマンドが理解
の助けになります)。

結果として、Samba のドメインコントローラ上にあるマッピングされなかった
ユーザやグループに対しては、新しい SID が割り当てられることがありまし
た。Windows のセキュリティ識別子に格納されるのは、名前ではなく SID で
あるため、この挙動により、ファイルが Samba サーバからローカルの NTFS
パーティションにコピーされた場合などに、ユーザがリソースにアクセスでき
なくなってしまうことがありました。この場合でも、Samba サーバに格納され
たファイル自体は、UNIX が認証に SID ではなく UNIX の GID を用いるため、
継続してアクセスが可能です。

この変更点の理解のために別の例を提示しましょう。「developers」という名
前で UNIX の GID が 782 のグループが存在しているにも関わらず、Samba の
グループマッピングテーブル上には存在しない場合を想定します。このグルー
プは ACL エディタ上では普通に表示されます。Samba 3.0.23 より前では、グ
ループの SID は S-1-5-21-647511796-4126122067-3123570092-2565 のように
なりました。Samba 3.0.23 の場合、グループの SID は S-1-22-2-782 となり
ます。

NTFS パーティション上に格納されたファイルに割り当てられたセキュリティ
識別子では、ユーザが S-1-5-21-647511796-4126122067-3123570092-2565 グ
ループのメンバでない限り、グループのアクセス権に基づいてアクセスするこ
とができませんでした。これはユーザのトークンで報告されていない、xxxxx
このグループの SID は S-1-22-2-782 になるため、Windows は両方の SID が
同じ UNIX グループに対応づけられたことを認識できず、認可のチェックに失
敗します。

現在の対処策は、「developers」グループに対するドメインのグループマッピ
ングが S-1-5-21-647511796-4126122067-3123570092-2565 の SID を指すよう
にエントリを手動で作成することです。


passdb の変更点
===============

「passdb backend」パラメータに、複数のバックエンドを指定することができ
なくなりました。また SQL および XML ベースの passdb モジュールは、本リ
リースから削除されました。SQL の passdb モジュールに関するサポート情報
については、http://pdbsql.sourceforge.net/ を参照してください。


グループマッピングの変更点
==========================

smbpasswd ファイルや tdbsam バックエンドを用いた場合、「Domain Admins」
グループなどに対するデフォルトのマッピングエントリが作成されなくなりま
した。このため、これらのグループに対するエントリを設定する場合は、
「net groupmap modify」コマンドではなく、「net groupmap add」コマンド
を用いる必要があります。この変更点は、winbindd のドメイングループの
IDmap 機能には影響しません。

LDAP の変更点
=============

Samba の LDAP スキーマファイルに若干の変更が発生しています。sambaSID
属性の定義に、substring matching ルールが追加されています。Open LDAP
サーバの場合、これにより slapd.conf 設定ファイルに「index sambaSID sub」
を追記する必要があります。この変更を行なった後で、slapindex コマンドを
実行する必要があります。実際にデータを格納するスキーマへの変更点はあり
ません。

==================
ダウンロードの詳細
==================

伸長した tar アーカイブおよびパッチファイルは GnuPG (ID 157BC95E) を用
いて署名されています。ソースコードは以下からダウンロード可能です:
 
        http://download.samba.org/samba/ftp/
 
リリースノートは以下から取得可能です:
 
	http://www.samba.org/samba/history/samba-3.0.23.html
 
バイナリパッケージは以下から取得可能です:
 
        http://download.samba.org/samba/ftp/Binary_Packages/
 
Our Code, Our Bugs, Our Responsibility.
(https://bugzilla.samba.org/)
 
                        --Enjoy
                        The Samba Team

-----
TAKAHASHI, Motonobu (たかはしもとのぶ)         monyo @ monyo.com
                                               http://www.monyo.com/




samba-jp メーリングリストの案内