[samba-jp:21645] Re: [Q] Windows 7からの権限追加について
Hiroyuki Sato
hiroysato @ gmail.com
2012年 1月 6日 (金) 19:46:22 JST
たかはしもとのぶ様
佐藤です。
先日はアドバイスありがとうございました。
本日検証した結果をご報告いたします。
可能であれば、以下のことについてご教示いただけますでしょうか?
(1) 現行の検証では1のようになりました。たかはしさまのご理解と、
相違点がございますでしょうか?
(2) たかはしさまの環境では、ldapsam:trusted=no利用時に、サーバ上の
ユーザ・グループを一覧表示することができましたでしょうか?
よろしくお願いします。
1, 現状の検証結果
[プロパティ] -> [セキュリティ] -> [編集] -> [追加] ->
[詳細設定] -> [検索]で、サーバ上に登録したユーザ、グループが表示される条件
(1) サーバとクライアントのユーザ登録
・サーバとクライアントが同一ドメインに所属していること。
・同一ドメインに所属していない場合、サーバ、クライアントの登録ユーザが
同一ユーザ名・パスワードであること
(2) Sambaのユーザ情報の格納先
tdbsam: OK
ldapsam:trusted=no : NG?
ldapsam:trusted=yes : 未検証
2, Windows Server 2008での検証結果
Windows Server 2008を用いて、ファイル共有のみ設定
ユーザはローカルアカウントとして登録
サーバOS: Windows 2008 Server
クライアントOS: Windows 7
Active Directory: 構築しない
(0) プロパティのオブジェクトの種類と選択の表示
ユーザ、グループ、またはビルトインセキュリティプリンシパルと表示される
(1) サーバクライアント間でユーザ名・パスワードが同一の場合
検索結果
サーバ上に登録したユーザ・グループが表示される
(2) サーバクライアント間でユーザ名は同一だがパスワードが別の場合
検索結果
サーバ上に登録したユーザ・グループが表示されない
(3) サーバクライアント間でユーザ名、パスワードともに違う場合
検索結果
サーバ上に登録したユーザ・グループが表示されない
特記事項
いずれのケースも、検索ボタンを押すと、ユーザ名とパスワードの入力を促される。
(1)の場合はパスワードを間違えても、ユーザの一覧が表示される。
3, Sambaでの検証結果 : LDAP未使用(tdbsam)
サーバOS: Scientific Linux 6.1
Samba: 3.5.6
クライアント: Windows 7
設定
Server role: ROLE_STANDALONE
[global]
workgroup = EXAMPLE
server string = Samba Server Version %v
log file = /var/log/samba/log.%m
max log size = 500000
load printers = No
admin users = administrator
printing = bsd
cups options = raw
print command = lpr -r -P'%p' %s
lpq command = lpq -P'%p'
lprm command = lprm -P'%p' %j
[share]
comment = Share
path = /home/share
valid users = @group1
read only = No
pdbeditでユーザを登録、
net groupmap でグループを登録
(0) プロパティのオブジェクトの種類と選択の表示
ユーザ、グループ、またはビルトインセキュリティプリンシパルと表示される
(1) サーバクライアント間でユーザ名・パスワードが同一の場合
検索結果
サーバ上に登録したユーザ・グループが表示される
(2) サーバクライアント間でユーザ名は同一だがパスワードが別の場合
検索結果
サーバ上に登録したユーザ・グループが表示されない
(3) サーバクライアント間でユーザ名、パスワードともに違う場合
検索結果
サーバ上に登録したユーザ・グループが表示されない
特記事項
いずれのケースも、検索ボタンを押すと、ユーザ名とパスワードの入力を促される。
(1)の場合はパスワードを間違えても、ユーザの一覧が表示される。
4, Sambaでの検証 : LDAPあり (ldapsam:trusted=no)
サーバOS: Scientific Linux 6.1
Samba: 3.5.6
クライアント: Windows 7
ldapsam + smbldap-toolsを使ってユーザを登録
設定
[global]
workgroup = EXAMPLE
server string = Samba Server Version %v
passdb backend = ldapsam:ldap://ldap.example.com
log level = 3
log file = /var/log/samba/log.%m
max log size = 50
domain logons = Yes
os level = 32
preferred master = Auto
wins support = Yes
ldap admin dn = cn=Manager,dc=example,dc=com
ldap delete dn = Yes
ldap group suffix = ou=groups
ldap machine suffix = ou=computers
ldap passwd sync = yes
ldap suffix = dc=example,dc=com
ldap ssl = no
ldap user suffix = ou=users
admin users = @group1
cups options = raw
dos filemode = Yes
[share]
comment = Share
path = /home/share
valid users = root
read only = No
smbldap-toolsでユーザ・グループを登録
(0) プロパティのオブジェクトの種類と選択の表示
ビルトインセキュリティプリンシパルと表示される
(1) サーバクライアント間でユーザ名・パスワードが同一の場合
検索結果
検索結果は表示されない
(2) サーバクライアント間でユーザ名は同一だがパスワードが別の場合
検索結果
検索結果は表示されない
(3) サーバクライアント間でユーザ名、パスワードともに違う場合
検索結果
検索結果は表示されない。
5, その他
ldapsam利用時に、SambaとWindows7を同一ドメインにするのはまだ未検証です。
2012年1月6日9:18 Hiroyuki Sato <hiroysato @ gmail.com>:
> たかはしもとのぶ様
>
> 佐藤です。
> アドバイスありがとうございます。
>
> アドバイスに従って切り分けをしたいと思います。
> できればドメインには参加させずに実現したいと思っています。
>
> ありがとうございました。
>
>
> 2012年1月6日2:17 TAKAHASHI Motonobu <monyo @ monyo.com>:
>> たかはしもとのぶです。
>>
>> From: Hiroyuki Sato <hiroysato @ gmail.com>
>> Date: Thu, 5 Jan 2012 21:31:19 +0900
>>
>>> 1, 実現したいこと
>>>
>>> (1) Sambaでサーバを構築する
>>> (2) Windows 7から、Sambaのサーバに接続し、ファイルを選択
>>> [プロパティ] -> [セキュリティ] -> [編集] -> [追加] ->
>>> [詳細設定] -> [検索]にて、Samba上に登録したユーザを検索し
>>> ファイル読み書き等の権限を追加したい。
>>>
>>> 2, 問題点
>>>
>>> (1) 上記1-(2)にて、権限を設定するユーザの検索をしても指定した
>>> ユーザが見つからないとエラーになってしまう。
>>
>> smb.conf をみる限り、Samba はドメインコントローラとして設定されていま
>> すが、
>>
>>> (2) クライアント
>>> OS: Windows 7 Professional
>>> ドメイン: WORKGROUP デフォルトのまま
>>
>> ということは、クライアントはドメインには参加していないということでしょ
>> うか。
>>
>> 基本的には Samba ユーザとして登録されているユーザは選択可能な筈ですが、
>> 切り分けという意味では、
>>
>> 1) Windows 7 をドメインに参加させた場合にどうなるか
>>
>> 2) ドメインに参加させない場合でも、Samba サーバ上に存在するのと同じユー
>> ザ名、パスワードで Windows 7 にログオンしてダイアログを開いた際にも
>> Samba ユーザが表示されないかを確認していただければと思います。
>>
>> ---
>> TAKAHASHI Motonobu <monyo @ monyo.com>
>
>
>
> --
> Hiroyuki Sato
--
Hiroyuki Sato
samba-jp メーリングリストの案内