[samba-jp:20529] Re: Samba 3.3.0rc2が出ました

TAKAHASHI Motonobu monyo @ monyo.com
2008年 12月 21日 (日) 22:18:08 JST


たかはしもとのぶです。

遅ればせながらですが、リリースノートを翻訳してみました。

リリースアナウンスメント
========================

これは Samba 3.3.0のRC版リリースの第二版です。実環境での使用を意図した
ものではなく、テスト環境以外での使用を想定していません。不具合の報告に
ついては、https://bugzilla.samba.org/ にある Samba バグ報告システムを
利用してください。

Samba 3.3.0 の主な機能拡張点を以下に示します:

 設定/インストール:

 o ライブラリ用のディレクトリを、(本来の)ライブラリとそれ以外のモジュー
   ル用のディレクトリとに分離した

 ファイルサービス:
 o クラスタ機能のサポートが拡充された

 Winbind:
 o idmap関連の設定が簡素化された
 o 新しいidmapバックエンドとして「adex」および「hash」がサポートされた
 o 「winbind reconnect delay」パラメータが新たに追加された
 o ユーザおよびグループのエイリアス機能がサポートされた
 o idmap_adにおいて、複数のドメインがサポートされた

 管理ツールs:
 o smbcontrolコマンドに、nmbdやwinbinddを含む実行中のデーモンすべてを
   意味する「all」デスティネーションが追加された
 o 「net rpc vampire keytab」および「net rpc vampire ldif」コマンドが
   新規に追加された
 o 「net」コマンドの認証に、Kerberosの使用が可能となった
 o 「wbinfo」コマンドにより、認証情報のマッピング情報の追加、変更、削
   除が可能となった

 ライブラリ:
 o NetApi ライブラリに、ユーザおよびグループ管理に関するさまざまな API
   が新規に実装された


configure の変更点
==================

configureオプションの「--with-libdir」は廃止されました。ライブラリ用の
ディレクトリは、既存の「--libdir」オプションにより指定することが可能で
す。共有モジュール用のディレクトリを個別に指定するため、「--
with-modulesdir」オプションが新規に追加されました。


Winbind機構の idmap バックエンドの変更
======================================

idmap 周りの設定が Samba 3.3 で変更となり、「idmap backend」パラメータ
を用いた Samba 3.0.25 より前の設定からのアップグレードが容易になりまし
た。この変更の趣旨は、Samba の開発者自身を含む多くの利用者にとって、
Samba 3.0.25 形式の「idmap backend」パラメータによる設定が複雑過ぎると
いう結論がでたことによります。Samba 3.3 系列では、「idmap backend」パ
ラメータを廃止予定のパラメータとしては扱わず、デフォルトの idmap バッ
クエンドを指定するパラメータとして扱います。

これにより、「idmap config <domain> : default = yes」の設定は参照され
なくなりました。

The alloc backend defaults to the default backend, which should be able to
allocate IDs. デフォルトの場合、tdb および ldap バックエンドは ID の割
当てが可能ですが、ad および rid バックエンドではできません。idmap
alloc range は「古い」パラメータである「idmap uid」および「idmap gid」
を置き換えます。

「idmap domains」パラメータは廃止されました。


winbind reconnect delay
=======================

これは、新しいパラメータであり、Winbind デーモンがドメインのドメインコ
ントローラ(DC)へのアクセスを試行する際に、DCへアクセスできないか、落
ちていると判断するまでの待ち時間を秒単位で指定します。


Winbind 機構のエイリアス機能のサポート
======================================

Winbind 機構のエイリアス機能は、管理者が Windows ドメインの完全修飾ユー
ザ名やグループ名(訳注:DOMAIN\user形式)をUNIX上でのアクセスに便利な
短い名前にマッピングすることを可能とする機能です。これは smbd でサポー
トされている username map パラメータの機能と似ていますが、クライアント
やサーバが Winbind 機構の PAM や NSS ライブラリにおいて使用することを
第一の目的としている点が異なります。

一例として、「DOMAIN\fred」というユーザのUNIX上での名前を「freddie」と
した際の様子を示します。

   $ getent passwd "DOMAIN\fred"
   freddie:x:1000:1001:Fred Jones:/home/freddie:/bin/bash

   $ getent passwd freddie
   freddie:x:1000:1001:Fred Jones:/home/freddie:/bin/bash

エイリアス機能のサポートは、個々の nss_info プラグインによって実装され
ます。一例をあげると、新しい「adex」プラグインは、Active Directory か
ら読み取った uid 属性により、完全修飾名に対する短いログイン名を作成し
ます。新規に追加された「hash」モジュールは、「短い名前 = 完全修飾名」
というマッピングを記載したローカルファイルを用います。ユーザ名とグルー
プ名両方のマッピングがサポートされています。

詳細については、smb.conf(5) の「winbind nss info」パラメータおよび各プ
ラグインのマニュアルページを参照してください。


idmap_hash
==========

idmap_hash プラグインは idmap_rid モジュールと類似の機能を提供します。
ただし、uid および gid はドメインの SID から生成されます。具体的には、
ユーザもしくはグループの RID の下位 19 ビットを uid の下位 19 ビットに
割り当てた上で、ドメイン SID のハッシュの 96 ビット分をハッシュし、uid
の 20 - 30 ビットまでを生成します。この結果生成された 31 ビットの uid
や gid は、マシンおよび信頼されるドメイン間を通じて一意です。

詳細については、idmap_hash(8) のマニュアルページを参照してください。


idmap_adex
==========

adex idmap/nss_info プラグインは、大企業に対応したプラグインであり、OU
ベースのセルの削除をサポートするためのものです(セルを管理する
Windows の機能はまだ実装されていません)。

このプラグインでは、以下がサポートされています。

      * RFC2307 スキーマに基づくユーザとグループのサポート
      * 信頼されるドメインへの接続
      * グローバルカタログの検索
      * フォレスト間信頼
      * ユーザおよびグループのエイリアス

事前準備: 以下の属性を、グローバルカタログのPAS(Partial Attribute Set
= 部分的な属性セット)に追加しておく必要があります。

      * uidNumber
      * uid
      * gidNumber

現在の最新のトランクにあるコードを用いた際の基本的な設定を以下に示しま
す:

[global]
	idmap backend = adex
	idmap uid = 10000 - 29999
	idmap gid = 10000 - 29999
	winbind nss info = adex

	winbind normalize names = yes
	winbind refresh tickets = yes
	template homedir = /home/%D/%U
	template shell = /bin/bash

詳細については、idmap_adex(8) のマニュアルページを参照してください。


######################################################################
変更点
######

smb.conf の変更点
- ----------------

    Parameter Name                      Description     Default
    --------------                      -----------     -------
    cups connection timeout		New		30
    idmap domains			Removed
    init logon delayed hosts		New		""
    init logon delay			New		100
    winbind reconnect delay		New		30

(詳細な修正点については省きました)

-----
TAKAHASHI, Motonobu (たかはしもとのぶ)         monyo @ monyo.com
                                               http://www.monyo.com/



samba-jp メーリングリストの案内