Samba 3.3.0 リリースノート
Samba 3.3.0リリースノート(2009年1月27日)
これは Samba 3.3.0 の最初の安定版のリリースです。
Samba 3.3.0 の主な機能拡張点を以下に示します:
- 全体的な変更:
- tdbsam 認証データベースのバージョンが上がった
- 設定/インストール:
- ライブラリ用のディレクトリを、(本来の)ライブラリとそれ以外のモジュール用のディレクトリとに分離した
- 「ldap ssl」パラメータのデフォルト値が「start tls」に変更された
- ファイルサービス:
- クラスタ機能のサポートが拡充された
- NTFS の ACL を Samba のファイルサーバに格納するための vfs_acl_xattr および vfs_acl_tdb という実験的な VFS モジュールが新たに追加された
- Winbind:
- idmap関連の設定が簡素化された
- 新しいidmapバックエンドとして「adex」および「hash」がサポートされた
- 「winbind reconnect delay」パラメータが新たに追加された
- ユーザおよびグループのエイリアス機能がサポートされた
- idmap_adにおいて、複数のドメインがサポートされた
- 管理ツール:
- smbcontrolコマンドに、nmbdやwinbinddを含む実行中のデーモンすべてを意味する「all」デスティネーションが追加された
- 「net rpc vampire keytab」および「net rpc vampire ldif」コマンドが新規に追加された
- 「net」コマンドにより認証およびドメイン参加をする際に、Kerberosの使用が可能となった
- 「wbinfo」コマンドにより、認証情報のマッピング情報の追加、変更、削除が可能となった
- ライブラリ:
- NetApi ライブラリに、ユーザおよびグループ管理に関するさまざまな APIが新規に実装された
- libsmbclient が、ファイルシステムに依存する大文字小文字の識別要否を指定できるようになった
全体的な変更点
tdbsam 認証データベースのバージョンが上昇しました。これは、主に「passdb backend = tdbsam」の設定をクラスタ環境で動作させるため、 RID カウンタ関連の情報が winbindd_idmap.tdb から passdb.tdb ファイルに移動したためです。
passdb.tdb ファイルを更新してしまうと、Samba 3.3.0 より前のバージョンとは互換性がなくなってしまうことに注意。「passdb backend = tdbsam」を 設定する前に、bassdb.tdb ファイルをバックアップしておくこと。ファイルを更新する前に「tdbbackup /etc/samba/passdb.tdb」を実行してください。
configure の変更点
configureオプションの「--with-libdir」は廃止されました。ライブラリ用のディレクトリは、既存の「--libdir」オプションにより指定することが可能で す。共有モジュール用のディレクトリを別の場所に指定するため、「--with-modulesdir」オプションが新規に追加されました。
設定の変更点
「ldap ssl」パラメータのデフォルト値が「start tls」に変更となりました。これにより、Samba がディレクトリサーバと通信する際は、デフォルトで LDAPv3 の StartTLS 拡張操作 (RFC 2830) が用いられることになります。ディレクトリサーバがこれに対応していない場合は、「ldap ssl = no」を指定す る必要があります。この設定を行なわないと、Samba はディレクトリサーバと通信することができなくなってしまいます。
Winbind機構の idmap バックエンドの変更
idmap 周りの設定が Samba 3.3 で変更となり、「idmap backend」パラメータを用いた Samba 3.0.25 より前の設定からのアップグレードが容易になりまし た。この変更の趣旨は、Samba の開発者自身を含む多くの利用者にとって、Samba 3.0.25 形式の「idmap backend」パラメータによる設定が複雑過ぎるという結論がでたことによります。Samba 3.3 系列では、「idmap backend」パラメータを廃止予定のパラメータとしては扱わず、デフォルトの idmap バックエンドを指定するパラメータとして扱います。
これにより、「idmap config <domain> : default = yes」の設定は参照されなくなりました。
idmap alloc backend パラメータデフォルト値は、ID の割り当てが可能なバックエンドにする必要があります。デフォルトの場合、tdb および ldap バックエンドは ID の割当てが可能ですが、ad および rid バックエンドではできません。idmap alloc range は「古い」パラメータである「idmap uid」および「idmap id」を置き換えます。
「idmap domains」パラメータは廃止されました。
winbind reconnect delay
これは、新しいパラメータであり、Winbind デーモンがドメインのドメインコントローラ(DC)へのアクセスを試行する際に、DCへアクセスできないか、落ちていると判断するまでの待ち時間を秒単位で指定します。
Winbind 機構のエイリアス機能のサポート
Winbind 機構のエイリアス機能は、管理者が Windows ドメインの完全修飾ユーザ名やグループ名(訳注:DOMAIN\user形式)をUNIX上でのアクセスに便利な短い名前にマッピングすることを可能とする機能です。これは smbd でサポートされている username map パラメータの機能と似ていますが、クライアントおよびサーバにおける Winbind 機構の PAM や NSS ライブラリにおいて使用することを第一の目的としている点が異なります。
一例として、「DOMAIN\fred」というユーザのUNIX上での名前を「freddie」とした際の様子を示します。
$ getent passwd "DOMAIN\fred" freddie:x:1000:1001:Fred Jones:/home/freddie:/bin/bash $ getent passwd freddie freddie:x:1000:1001:Fred Jones:/home/freddie:/bin/bash
エイリアス機能のサポートは、個々の nss_info プラグインによって実装されます。一例をあげると、新しい「adex」プラグインは、Active Directory から読み取った uid 属性により、完全修飾名に対する短いログイン名を作成します。新規に追加された「hash」モジュールは、「短い名前 = 完全修飾名」というマッピングを記載したローカルファイルを用います。ユーザ名とグループ名両方のマッピングがサポートされています。
詳細については、smb.conf(5) の「winbind nss info」パラメータおよび各プラグインのマニュアルページを参照してください。
idmap_hash
idmap_hash プラグインは idmap_rid モジュールと類似の機能を提供しますが、uid および gid はドメインの SID から生成されます。具体的には、ユーザもしくはグループの RID の下位 19 ビットを uid の 0 - 19 ビットに割り当てた上で、ドメイン SID のハッシュの 96 ビット分をハッシュし、uid の 20 - 30 ビットまでを生成します。この結果生成された 31 ビットの uid や gid は、マシンおよび信頼されるドメイン間を通じて一意です。
詳細については、idmap_hash(8) のマニュアルページを参照してください。
idmap_adex
adex idmap/nss_info プラグインは、大企業に対応したプラグインであり、OU ベースのセルの削除をサポートするためのものです(セルを管理するWindows の機能はまだ実装されていません)。
このプラグインでは、以下がサポートされています。
- RFC2307 スキーマに基づくユーザとグループのサポート
- 信頼されるドメインへの接続
- グローバルカタログの検索
- フォレスト間信頼
- ユーザおよびグループのエイリアス
事前準備
以下の属性を、グローバルカタログのPAS(Partial Attribute Set = 部分的な属性セット)に追加しておく必要があります。
- uidNumber
- uid
- gidNumber
現在の最新のトランクにあるコードを用いた際の基本的な設定を以下に示します:
[global] idmap backend = adex idmap uid = 10000 - 29999 idmap gid = 10000 - 29999 winbind nss info = adex winbind normalize names = yes winbind refresh tickets = yes template homedir = /home/%D/%U template shell = /bin/bash
詳細については、idmap_adex(8) のマニュアルページを参照してください。
ライブラリ
libsmbclient は、接続先のファイルシステムがファイル名の大文字小文字を識別する場合は、ファイル名の大文字小文字をデフォルトで識別するようになりました。これはバグ修正と考えて良いでしょう。以前のバージョンではファイルを新規作成する際に、大文字小文字を無視すると同じ名前になってしまうファイルがあると、上書きしてしまう可能性がありました。
ファイルシステムが大文字小文字を識別するかを確認できない場合は、ユーザから指定できるオプション値が用いられます。
smb.confの変更点
Parameter Name Description Default -------------- ----------- ------- cups connection timeout New 30 idmap config DOM:range Removed idmap domains Removed init logon delayed hosts New "" init logon delay New 100 ldap ssl Changed Default start tls share modes Deprecated winbind reconnect delay New 30
(詳細な修正点については省きました)
ダウンロードの詳細
伸長した tar アーカイブおよびパッチファイルは GnuPG (ID 6568B7EA) を用いて署名されています。ソースコードは以下からダウンロード可能です:
リリースノートは以下から取得可能です:
バイナリパッケージは以下から取得可能です:
Our Code, Our Bugs, Our Responsibility.
(https://bugzilla.samba.org/)
--Enjoy The Samba Team