[samba-jp:21878] Re: Samba4が出ました
TAKAHASHI Motonobu
monyo @ monyo.com
2012年 12月 16日 (日) 00:02:39 JST
たかはしもとのぶです。
遅くなりましたが、リリースノートの翻訳です。
・原文
http://www.samba.org/samba/history/samba-4.0.0.html
=====
==========================
Samba 4.0.0 リリースノート
2012 年 12 月 11 日
==========================
これは、Samba 4.0 系列の最初の安定版リリースである。本リリースには、ファイ
ルサーバ(これは既存の Samba 3.X 系列のアップグレード先として順当な系列であ
る)と以前は「Samba 4」として知られていた Active Directory ドメインコントロー
ラ双方のテクノロジの長所が包含されている。
Samba 4.0.0 の主要な新機能は以下のとおりである。
Active Directory 機能
=====================
Samba 4.0 系列は、Windows 2000 以降で導入された Active Directory ログオン機
構のサーバとしての動作をサポートする。これにより、Windows 2000 以降のクライ
アントによるドメイン参加やドメインログオン処理を完全にサポートすることが可
能となった。
ドメインコントローラ(DC)の実装には、独自の LDAP サーバと Kerberos KDC
(Key Distribution Center)が含まれる他、Samba3 と同様の CIFS によるログオ
ン機構も提供される。我々は、悪名高き Kerberos PAC も適切に生成した上で、発
行する Kerberos チケットに含めている。
Active Directory のドメインコントローラとして動作させる際には、
(nmbd/smbd/winbindd ではなく)'samba' のみを実行すること。必要なサービス
は、このマスタバイナリと連携して起動される。Active Directory 機能を操作する
ツールは samba-tool という名称となった。
Samba 4 を Active Directory のドメインコントローラとして設定するための簡単
なガイドが Wiki に掲載されている:
http://wiki.samba.org/index.php/Samba4/HOWTO
ファイルサービス
================
Samba 4.0.0 には 2 つの異なるファイルサーバが同梱されている。デフォルト
では、すべてのファイルサーバ機能について、Samba 3.x 系列由来の 'smbd' を
使用する。
Samba 4.0 には 'NTVFS' ファイルサーバも同梱されている。これは、Samba 4.0.0
beta2 リリースより前に用いられていたものであり、Active Directory のドメイン
コントローラの要件に特化したものであり、サポートは継続されている。これは、
引き続き、本ファイルサーバを使用してのインストールを提供するためだけではな
く、長期的な視点で smbd の移行先として期待している NT-FSA アーキテクチャの
サンプル実装を提供する意味もある。
単純なファイルサーバ機能については、従来のバイナリ(smbd, nmbd, winbindd,
smbpasswd)を引き続き使用できる。
DNS
===
DNS は Active Directory に必須の要素であるため、アプライアンス的な設定を行
うための単純な内蔵 DNS サーバと、BIND バージョン 9.8 および 9.9 で提供され
ている BIND DLZ 機構を用いた、複雑な BIND プラグインという二通りの DNS ソ
リューションを提供した。プロビジョニングの際に、どのバックエンドを使用する
かを選択できる。内蔵 DNS をバックエンドとして使用する場合は、そのままで動作
する。BIND_DLZ バックエンドを選択する場合は、BIND に本プラグインを使用させ
るための設定ファイルと、BIND での設定方法を説明したファイルが生成される。
NTP
===
Windows クライアントに厳格な時刻同期機能を提供するため、我々は NTP プロジェ
クトと連携して、セキュアな NTP リプライを実現した。使用するには、'restrict
... msntp' および ntpsigndsocket オプションを構成した上で、ntpd を起動する
必要がある。
Python スクリプトインタフェース
===============================
Samba 4 には新しいスクリプトインタフェースが実装された。Python を用いて
Samba 内部にアクセスするインタフェースが提供され、多くのツールとドメインコ
ントローラの内部処理の多くが Python で実装されている。
既知の問題点
============
- ある Active Directory サーバから別のサーバへの DNS データの複製は、
動作しない場合がある。内蔵 DNS サーバおよび bind9_dlz が用いる DNS
データは、ディレクトリ内のアプリケーションパーティションに格納されるが、
このパーティションの複製はまだ信頼性が低い。
- FreeBSD では、getaddrinfo() が _ を含む名前を拒否するため、複製に失敗する
ことがある。この問題の対処は今後のリリースにおいて行われる。
- samba_upgradeprovision を、最近のリリースから本リリースへのアップグレード
を行うために実行してはならない。alpha16 以降では、データベースのフォーマッ
トに関して重要な変更は行われていない。
- iconv が存在しない (およびコンパイル時に開発用のヘッダが存在しない)システ
ムへのインストールは、非 ASCII 文字の扱いでエラーが発生する。
- 'samba' バイナリにおけるドメインメンバのサポートは、まだ実装途中であり、
winbindd によるサポートと比較できる段階には達していない。そのためメンバサー
バにおいて、(Active Directory のサーバ機能を提供する)'samba' バイナリ
を使用しないこと。
- Active Directory のドメインコントローラでは、NetBIOS のブラウジング機構の
サポートが行われていない(nmbd/smbd を用いた従来のドメインやメンバサーバ、
スタンドアロンサーバにおけるサポートは変更されていない)
- 時刻同期が必須である。「パスワードが間違っています(wrong password)」
エラーの多くが、実際のところ Kerberos がクライアントとサーバ間での時刻の
ずれを検出したことによるものである(以前の alpha 版における NTP 関連の実
装が、この問題の一部をサポートする)。
- DRS による複製は失敗する場合がある。DRS による複製に問題が発生した際は、
Samba Team に連絡してほしい。運用しているユーザからのフィードバックに対応
する中で、多くの問題を修正してきたためである。
- Linux の inotify は、glibc が inotify をサポートするシステムでのみサポー
トされる(詳細に付いてはバグ #8850 を参照のこと)。
アップグレード
==============
Samba 3.x 系列のドメインコントローラからのアップグレードを行う形で Samba
4.0 を Active Directory のドメインコントローラとして使用したいユーザ
は、'samba-tool domain classicupgrade' コマンドを使用すること。詳細は以下の
Wiki を参照のこと:
https://wiki.samba.org/index.php/Samba4/samba3upgrade/HOWTO
alpha15 以降の Samba 4.0 アルファ版、もしくはベータ版からのアップグレードを
行うユーザは、Samba の再起動前に、'samba-tool dbcheck --cross-ncs --fix' を
実行すること。それより前のアルファ版からのアップグレードを行うユーザは、
Samba Team にアドバイスを求めること。
以前のリリースから Active Directory のドメインコントローラをアップグレード
するユーザは、SYSVOL 共有のアクセス許可(ACL)を、LDAP に格納された GPO と
初期プロビジョニング時のデフォルト値に適したもので再設定するため
'samba-tool ntacl sysvolreset' を実行すること。これは、必要に応じて(NTVFS
ファイルサーバを使用していない場合など)下層に位置する POSIX ACL も設定する。
内蔵の DNS サーバ(SAMBA_INTERNAL)がデフォルトとなったため、BIND9_FLATFILE
もしくは BIND9_DLZ 機能を使用する場合は、'server services' オプションに
'-dns' を付加すること。
サポートされる機能
==================
現在サポートされる(されない)機能を記載したホワイトペーパを以下の Wiki か
ら入手できる:
https://wiki.samba.org/index.php/Samba_4.0_Whitepaper
######################################################################
変更点
######
smb.conf の変更点
-----------------
Parameter Name Description
-------------- -----------
acl compatibility Removed
allow dns updates New
announce as Removed
announce version Removed
cldap port New
client max protocol New
client min protocol New
client signing Changed default
dcerpc endpoint servers New
dgram port New
directory security mask Removed
display charset Removed
dns forwarder New
dns update command New
force security mode Removed
force directory security mode Removed
homedir map Changed default
kernel oplocks Changed default
kernel share modes New
kpasswd port New
krb5 port New
nbt client socket address New
nbt port New
nsupdate command New
ntp signd socket directory New
ntvfs handler New
paranoid server security Removed
pid directory New
printer admin Removed
rndc command New
rpc big endian New
samba kcc command New
security mask Removed
send spnego principal Removed
server max protocol New
server min protocol New
server role New
server services New
server signing Changed default
share backend New
share modes Removed
smb2 max read Changed default
smb2 max write Changed default
smb2 max trans Changed default
socket address Removed
spn update command New
time offset Removed
tls cafile New
tls certfile New
tls crlfile New
tls dh params file New
tls enabled New
tls keyfile New
unicode New
web port New
winbindd privileged socket directory New
winbind sealed pipes New
winbindd socket directory New
4.0.0rc6 からの変更点
=====================
(個別の変更点、変更者は、日本人以外省略)
o Tsukasa Hamano <hamano @ osstech.co.jp>
* BUG 9471: Fix SEGV when using second vfs module.
4.0.0rc5 からの変更点
=====================
本 RC 版では、アクセス許可(ACL)周りのコードにかなりの数の改良を実施した。
これは、Active Directory のドメインコントローラ機能に関するところが中心だが、
一般的なファイルサーバ機能に対しても行われている。
この変更は、GPO が正しく動作するようになり、管理者がディレクトリの一部を特
定のユーザのみが読み取れるように制限することを可能とし、ACL の継承が LDAP
のディレクトリツリーに対して行われるようになったという点で重要である。
Active Directory ドメインコントローラを以前のリリースから引き続き使用したい
場合は、SYSVOL 共有のアクセス許可を LDAP に格納された GPO と初期プロビジョ
ニング時のデフォルト値に適したもので再設定するため 'samba-tool ntacl
sysvolreset' を実行すること。これは、必要に応じて下層に位置する POSIX ACL
も設定する。
Active Directory のアクセス許可はデフォルトで検索の際にも評価されるようになっ
た。アクセス許可の自動的な継承が、適切に再適用されるようになった。
4.0.0rc4 からの変更点
=====================
本 RC 版では、Samba が NTPD からの接続を受け付けるためのソケットの場所が、
パーミッションを強制的に設定するために変更となった。
これにより、ntp.conf を例えば以下のように変更する必要がある:
ntpsigndsocket /usr/local/samba/var/run/ntp_signd/
から
ntpsigndsocket /usr/local/samba/var/lib/ntp_signd/
このソケットを NTP のユーザやグループで使用するためには、以下を実行すること:
chgrp ntp /usr/local/samba/var/lib/ntp_signd/
4.0.0rc3 からの変更点
=====================
4.0.0rc2 からの変更点
=====================
4.0.0rc1 からの変更点
=====================
---
TAKAHASHI Motonobu <monyo @ monyo.com>
samba-jp メーリングリストの案内