[sugj-tech:7423] Re: 査閲希望

[TAKAHASHI Motonobu]

たかはしもとのぶです。

From: ribbon sv user <ribbon ＠ ns.ribbon.or.jp>
Date: Mon, 8 Aug 2011 11:16:38 +0900

> とりあえず、3.5.11にも含まれるようになった、
> client use spnego principal パラメータについて、その訳の
> 査閲をお願いできないでしょうか。>各位

もう少し日本語吟味した方がよいのではないでしょうか。
英語なしで日本語だけ見て意味通じるようにはしておきたいと思いますし、

http://cgi.samba.gr.jp/mailman/archives/samba-jp/2011-May/002660.html

にある、Samba 3.6.0pre3 の翻訳も参考になると思います。

以下、こんな感じでしょうか。

>     <para>このパラメーターは、<citerefentry><refentrytitle>smbclient</refentrytitle>
>     <manvolnum>8</manvolnum></citerefentry>とクライアントとして動作する、
>     他のSambaコンポーネントが、時々SPNEGOの交換中において与えられた、
>     サーバーから供給されたプリンシパルを使う事を試みるかどうかを決める。</para>

>     <para>This parameter determines whether or not
>     <citerefentry><refentrytitle>smbclient</refentrytitle>
>     <manvolnum>8</manvolnum></citerefentry> and other samba components
>     acting as a client will attempt to use the server-supplied
>     principal sometimes given in the SPNEGO exchange.</para>

このパラメータは、smbclient をはじめとする Samba のコンポーネントが
クライアントとして動作するときに、SPNEGO 交換の際にサーバから提供され
ることがあるプリンシパルを用いるかどうかを制御する。

>     <para>もしも有効にした場合、SambaはIPアドレスによってのみ知ることが出来る
>     サーバーへ接続するためにKerberosを使うことを試みることが出来る。Kerberos
>     は名前に依存するので、この状況においては、通常機能しない。</para>

>     <para>If enabled, Samba can attempt to use Kerberos to contact
>     servers known only by IP address.  Kerberos relies on names, so
>     ordinarily cannot function in this situation. </para>

yes にした場合、Samba は名前解決ができないサーバへ接続する際にも
Kerberos の使用を試行する。しかし、Kerberos は名前に依存したプロトコル
であるため、通常、こうした状態では機能しない。

>     <para>もしも無効にすると、SambaはチケットをKDCに問い合わせる時、
>     サーバーを検索する時に名前を使う。これは、サーバーが他のサーバーのなりすまし
>     かもしれない時、もう一つのサーバーとして存在している時、
>     1つのプリンシパルとして認証を要求する状況を防ぐ。</para>

>     <para>If disabled, Samba will use the name used to look up the
>     server when asking the KDC for a ticket.  This avoids situations
>     where a server may impersonate another, soliciting authentication
>     as one principal while being known on the network as another.
>     </para>

no にした場合、Samba は KDC にチケットを問い合わせる際に、サーバを検
索する際に用いた名前を使用する。これにより、あるサーバがネットワーク上
で用いられている名前とは別のプリンシパルとして認証を要求することで、別
のサーバになりすましてしまうという事態を避けることができる。

>     <para>Windows XP SP2とそれ以降のバージョンはすでにこの動作に従い、
>     Windows Vistaとそれ以降のサーバーは、サーバーサイド上で、もはやこの
>     'rfc4178 hint' プリンシパルを提供しない。</para>
> 
>     <para>Note that Windows XP SP2 and later versions already follow
>     this behaviour, and Windows Vista and later servers no longer
>     supply this 'rfc4178 hint' principal on the server side.</para>

Windows XP SP2 以降では、後者の動作を行うように変更されている。また、
WindowsVista 以降がサーバとして機能する際にも、この「rfc4178 hint」プ
リンシパルを提供しないようになっている。

> <value type="default">no</value>

---
TAKAHASHI Motonobu <monyo ＠ monyo.com>