[samba-jp:21650] Re: [Q] Windows 7からの権限追加について

[Hiroyuki Sato]

たかはしもとのぶ様

佐藤です。

ご連絡をありがとうございます。
検証までしていただき、誠にありがとうございます。





2012年1月9日16:49 TAKAHASHI Motonobu <monyo ＠ monyo.com>:
> たかはしもとのぶです。
>
>> こちらの件ですが次のようなことがわかりました。
>>　 ・サーバどちらも Windows Server 2008 日本語版
>>　 ・サーバは、ファイルサーバのみ設定、AD未構築
>>　 ・クライアントのユーザ administrator
>>　 ・サーバのログインのユーザ user1
>>
>>　 (1) クライアント: Windows 7 Professional x86_64 日本語版の場合
>>　　 ・検索ボタンを押すとパスワードの入力を促される。
>>
>>　 (2) クライアント: Windows 7 Ultimate x86_64 Englishの場合
>>　　 ・検索ボタンを押してもパスワードの入力が促されない
>>　　 ・ファイルサーバ上に登録されているユーザ・グループが一覧に表示される。
>>
>> これをもとに、もう少し詳しいことを調べてなにかわかりましたらお知らせ
>> いたします。
>
> 手元に日本語版の Windows 7 Ultimate 64bit と Windows 7 Professional
> 32bit しかないので、とりあえず Windows 7 Ultimate 64bit の環境で確認し
> ました。
>
> 手元で確認した限りでは、Windows クライアントのユーザ名 / パスワードと
> Samba 側にアクセスするユーザのユーザ名 / パスワードが異なる場合
>
> ・\\IPアドレスでアクセスすると、ユーザやグループは表示されない
> ・\\コンピュータ名でアクセスすると、ユーザやグループは表示される
>
> ・tdbsam か ldapsam か、またアクセス方法「\\server でアクセスの上、共
>  有フォルダを参照 / 直接 \\server\sharename で共有フォルダを参照 /
>  net use コマンドであらかじめ \\server\ipc$ に接続した上で
>  \\server\sharename でアクセス」には依存しない


\\コンピュータ名でアクセスするとというのは、
次のような理解で良いのでしょうか？

・C:\Windows\System32\drivers\etc\lmhostsにエントリを追加する。
・WINSにエントリを追加する





>
> といったところです。\\コンピュータ名というのは、DNS 名ではありませんの
> で、御留意ください。
>
> ただし、\\コンピュータ名でアクセスした際にちょっと席を外して、かなり時
> 間が経過してからアクセスした際には、ユーザやグループが表示されなかった
> ケースもあります。
>
> 環境は Windows 7 Ultimate 64bit と Squeeze 上の Samba 3.5.6 で確認して
> います。Windows 側は VMware のスナップショット機能を使って、アクセスの
> 都度元の状態 (ログオン直後) に戻した上で、Samba サーバにアクセスさせて
> います。
>
> Samba 側のアクセスの都度プロセスの再起動を行っています。
>
> 同一 IP サブネットの Windows Server 2008 R2 に対してアクセスした際に
> 同様の事象が発生するかなども確認してみようと思います。ただ、こうした不
> 安定な (微妙な) 動きであることは変わらないと思いますので、基本的には
>
>>   [プロパティ] -> [セキュリティ] -> [編集] -> [追加] ->
>>　 [詳細設定] -> [検索]で、サーバ上に登録したユーザ、グループが表示される条件
>>
>>   (1) サーバとクライアントのユーザ登録
>>
>>     ・サーバとクライアントが同一ドメインに所属していること。
>>
>>     ・同一ドメインに所属していない場合、サーバ、クライアントの登録ユーザが
>>　     同一ユーザ名・パスワードであること
>
> であると考えています。
>

ありがとうございます。このような条件で利用するようにいたします。


なお、そもそもの質問で記載いたしました下記の件に関して
わかったことがありますのでご報告いたします。

> 2, 問題点
>
> 　(1) 上記1-(2)にて、権限を設定するユーザの検索をしても指定した
>　    ユーザが見つからないとエラーになってしまう。
>
>　(2) オブジェクトの種類選択がビルトインセキュリティプリンシパル
>　    のみ表示されており、ユーザやグループのオブジェクトを選択
>　    することができない。

>     ※ 高橋様の「Sambaのすべて PP.175」では上記検索パネルのオ
>        ブジェクトの種類が、「ユーザ、グループまたはビルトイン
>        セキュリティプリンシパル」になっており、
>        この部分に問題があるのでは？と思っています。

1, 環境

  クライアント: Windows 7 Professional x86_64 日本語版
  サーバ
    OS: Scientific Linux
    Samba: 3.5.6 (付属RPM)
  クライアントはドメインに参加していない。

2, 設定共通部分


  [global]
  	workgroup = EXAMPLE
  	server string = Samba Server Version %v
  	passdb backend = ldapsam:ldap://127.0.0.1
  	log file = /var/log/samba/log.%m
  	max log size = 50
  	add user script = /usr/sbin/smbldap-useradd -a -m '%u'
  	rename user script = /usr/sbin/smbldap-usermod -l '%unew' %uold'
  	delete user script = /usr/sbin/smbldap-userdel -r '%u'
  	add group script = /usr/sbin/smbldap-groupadd -a -m '%g'
  	delete group script = /usr/sbin/smbldap-groupdel -a -m '%g'
  	add user to group script = /usr/sbin/smbldap-groupmod -m '%u' %g'
  	delete user from group script = /usr/sbin/smbldap-groupmod -x '%g' %u'
  	os level = 32
  	ldap admin dn = cn=Manager,dc=example,dc=com
  	ldap delete dn = Yes
  	ldap group suffix = ou=groups
  	ldap machine suffix = ou=computers
  	ldap passwd sync = yes
  	ldap suffix = dc=example,dc=com
  	ldap ssl = no
  	ldap user suffix = ou=users
  	admin users = administrator
  	cups options = raw

  [share]
  	comment = Share
  	path = /mnt/share
  	valid users = @group1
  	read only = No
  	
 	※ smbldap-toolsでLDAPを設定、configure.plを実行し、smbldap-populateを実行


  (1) domain logons = Yes

    オブジェクトの種別: ビルトインセキュリティプリンシパル


  (2) domain logons = No

    オブジェクトの種類: ユーザ、グループまたはビルトインセキュリティプリンシパル

上記のようになるようです。


-- 
Hiroyuki Sato