[samba-jp:21645] Re: [Q] Windows 7からの権限追加について

Hiroyuki Sato hiroysato @ gmail.com
2012年 1月 6日 (金) 19:46:22 JST


たかはしもとのぶ様

佐藤です。

先日はアドバイスありがとうございました。

本日検証した結果をご報告いたします。
可能であれば、以下のことについてご教示いただけますでしょうか?

  (1) 現行の検証では1のようになりました。たかはしさまのご理解と、
      相違点がございますでしょうか?
  (2) たかはしさまの環境では、ldapsam:trusted=no利用時に、サーバ上の
      ユーザ・グループを一覧表示することができましたでしょうか?

よろしくお願いします。

1, 現状の検証結果

  [プロパティ] -> [セキュリティ] -> [編集] -> [追加] ->
 [詳細設定] -> [検索]で、サーバ上に登録したユーザ、グループが表示される条件

  (1) サーバとクライアントのユーザ登録

    ・サーバとクライアントが同一ドメインに所属していること。

    ・同一ドメインに所属していない場合、サーバ、クライアントの登録ユーザが
     同一ユーザ名・パスワードであること

  (2) Sambaのユーザ情報の格納先

    tdbsam: OK
    ldapsam:trusted=no : NG?
    ldapsam:trusted=yes : 未検証

2, Windows Server 2008での検証結果

  Windows Server 2008を用いて、ファイル共有のみ設定
  ユーザはローカルアカウントとして登録

  サーバOS: Windows 2008 Server
  クライアントOS: Windows 7
  Active Directory: 構築しない


  (0) プロパティのオブジェクトの種類と選択の表示
    ユーザ、グループ、またはビルトインセキュリティプリンシパルと表示される

  (1) サーバクライアント間でユーザ名・パスワードが同一の場合

    検索結果
      サーバ上に登録したユーザ・グループが表示される

  (2) サーバクライアント間でユーザ名は同一だがパスワードが別の場合

    検索結果
      サーバ上に登録したユーザ・グループが表示されない

  (3) サーバクライアント間でユーザ名、パスワードともに違う場合

    検索結果
      サーバ上に登録したユーザ・グループが表示されない


  特記事項

    いずれのケースも、検索ボタンを押すと、ユーザ名とパスワードの入力を促される。
    (1)の場合はパスワードを間違えても、ユーザの一覧が表示される。


3, Sambaでの検証結果 : LDAP未使用(tdbsam)

  サーバOS: Scientific Linux 6.1
  Samba: 3.5.6
  クライアント: Windows 7
  設定

    Server role: ROLE_STANDALONE
    [global]
    	workgroup = EXAMPLE
    	server string = Samba Server Version %v
    	log file = /var/log/samba/log.%m
    	max log size = 500000
    	load printers = No
    	admin users = administrator
    	printing = bsd
    	cups options = raw
    	print command = lpr -r -P'%p' %s
    	lpq command = lpq -P'%p'
    	lprm command = lprm -P'%p' %j

    [share]
    	comment = Share
    	path = /home/share
    	valid users = @group1
    	read only = No

    pdbeditでユーザを登録、
    net groupmap でグループを登録

  (0) プロパティのオブジェクトの種類と選択の表示

    ユーザ、グループ、またはビルトインセキュリティプリンシパルと表示される

  (1) サーバクライアント間でユーザ名・パスワードが同一の場合

    検索結果
      サーバ上に登録したユーザ・グループが表示される

  (2) サーバクライアント間でユーザ名は同一だがパスワードが別の場合

    検索結果
      サーバ上に登録したユーザ・グループが表示されない

  (3) サーバクライアント間でユーザ名、パスワードともに違う場合

    検索結果
      サーバ上に登録したユーザ・グループが表示されない


  特記事項

    いずれのケースも、検索ボタンを押すと、ユーザ名とパスワードの入力を促される。
    (1)の場合はパスワードを間違えても、ユーザの一覧が表示される。

4, Sambaでの検証 : LDAPあり (ldapsam:trusted=no)

  サーバOS: Scientific Linux 6.1
  Samba: 3.5.6
  クライアント: Windows 7

  ldapsam + smbldap-toolsを使ってユーザを登録


  設定

     [global]
         workgroup = EXAMPLE
         server string = Samba Server Version %v
         passdb backend = ldapsam:ldap://ldap.example.com
         log level = 3
         log file = /var/log/samba/log.%m
         max log size = 50
         domain logons = Yes
         os level = 32
         preferred master = Auto
         wins support = Yes
         ldap admin dn = cn=Manager,dc=example,dc=com
         ldap delete dn = Yes
         ldap group suffix = ou=groups
         ldap machine suffix = ou=computers
         ldap passwd sync = yes
         ldap suffix = dc=example,dc=com
         ldap ssl = no
         ldap user suffix = ou=users
         admin users = @group1
         cups options = raw
         dos filemode = Yes

     [share]
         comment = Share
         path = /home/share
         valid users = root
         read only = No

      smbldap-toolsでユーザ・グループを登録


  (0) プロパティのオブジェクトの種類と選択の表示

    ビルトインセキュリティプリンシパルと表示される

  (1) サーバクライアント間でユーザ名・パスワードが同一の場合

    検索結果
      検索結果は表示されない

  (2) サーバクライアント間でユーザ名は同一だがパスワードが別の場合

    検索結果
      検索結果は表示されない

  (3) サーバクライアント間でユーザ名、パスワードともに違う場合

    検索結果
      検索結果は表示されない。


5, その他

  ldapsam利用時に、SambaとWindows7を同一ドメインにするのはまだ未検証です。


2012年1月6日9:18 Hiroyuki Sato <hiroysato @ gmail.com>:
> たかはしもとのぶ様
>
> 佐藤です。
> アドバイスありがとうございます。
>
> アドバイスに従って切り分けをしたいと思います。
> できればドメインには参加させずに実現したいと思っています。
>
> ありがとうございました。
>
>
> 2012年1月6日2:17 TAKAHASHI Motonobu <monyo @ monyo.com>:
>> たかはしもとのぶです。
>>
>> From: Hiroyuki Sato <hiroysato @ gmail.com>
>> Date: Thu, 5 Jan 2012 21:31:19 +0900
>>
>>> 1, 実現したいこと
>>>
>>>  (1) Sambaでサーバを構築する
>>>  (2) Windows 7から、Sambaのサーバに接続し、ファイルを選択
>>>      [プロパティ] -> [セキュリティ] -> [編集] -> [追加] ->
>>>      [詳細設定] -> [検索]にて、Samba上に登録したユーザを検索し
>>>      ファイル読み書き等の権限を追加したい。
>>>
>>> 2, 問題点
>>>
>>>  (1) 上記1-(2)にて、権限を設定するユーザの検索をしても指定した
>>>      ユーザが見つからないとエラーになってしまう。
>>
>> smb.conf をみる限り、Samba はドメインコントローラとして設定されていま
>> すが、
>>
>>>   (2) クライアント
>>>     OS: Windows 7 Professional
>>>     ドメイン: WORKGROUP デフォルトのまま
>>
>> ということは、クライアントはドメインには参加していないということでしょ
>> うか。
>>
>> 基本的には Samba ユーザとして登録されているユーザは選択可能な筈ですが、
>> 切り分けという意味では、
>>
>> 1) Windows 7 をドメインに参加させた場合にどうなるか
>>
>> 2) ドメインに参加させない場合でも、Samba サーバ上に存在するのと同じユー
>>   ザ名、パスワードで Windows 7 にログオンしてダイアログを開いた際にも
>>   Samba ユーザが表示されないかを確認していただければと思います。
>>
>> ---
>> TAKAHASHI Motonobu <monyo @ monyo.com>
>
>
>
> --
> Hiroyuki Sato



-- 
Hiroyuki Sato


samba-jp メーリングリストの案内