「Samba 3.3.0 リリースノート」の版間の差分
編集の要約なし |
|||
| 1行目: | 1行目: | ||
Samba 3. |
== Samba 3.3.0リリースノート(2009年1月27日) == |
||
これは Samba 3.3.0 の最初の安定版のリリースです。 |
|||
Samba 3.3.0 の主な機能拡張点を以下に示します: |
|||
*全体的な変更: |
|||
Samba 3.5.0 の主な機能拡張点を以下に示します: |
|||
**tdbsam 認証データベースのバージョンが上がった |
|||
*設定/インストール: |
|||
*全体的な変更点: |
|||
**ライブラリ用のディレクトリを、(本来の)ライブラリとそれ以外のモジュール用のディレクトリとに分離した |
|||
**Windows の時刻精度の完全なサポートが新たに追加された |
|||
**「ldap ssl」パラメータのデフォルト値が「start tls」に変更された |
|||
**Using Samba の HTML が削除された |
|||
**net、smbclient、libsmbclient が Winbind によってキャッシュされた資格情報を用いるようになった |
|||
**「wide links」パラメータのデフォルト値が「no」に変更された |
|||
*ファイルサービス: |
|||
*プロトコルの変更点: |
|||
** |
**クラスタ機能のサポートが拡充された |
||
**NTFS の ACL を Samba のファイルサーバに格納するための vfs_acl_xattr および vfs_acl_tdb という実験的な VFS モジュールが新たに追加された |
|||
*Winbind: |
|||
*印刷に関する変更点: |
|||
** |
**idmap関連の設定が簡素化された |
||
**新しいidmapバックエンドとして「adex」および「hash」がサポートされた |
|||
**「winbind reconnect delay」パラメータが新たに追加された |
|||
**ユーザおよびグループのエイリアス機能がサポートされた |
|||
**idmap_adにおいて、複数のドメインがサポートされた |
|||
*管理ツール: |
|||
*Winbind の変更点: |
|||
**smbcontrolコマンドに、nmbdやwinbinddを含む実行中のデーモンすべてを意味する「all」デスティネーションが追加された |
|||
**大幅なリファクタリング |
|||
**「net rpc vampire keytab」および「net rpc vampire ldif」コマンドが新規に追加された |
|||
**非同期化 |
|||
**「net」コマンドにより認証およびドメイン参加をする際に、Kerberosの使用が可能となった |
|||
**「wbinfo」コマンドにより、認証情報のマッピング情報の追加、変更、削除が可能となった |
|||
*ライブラリ: |
|||
*VFS モジュール: |
|||
** |
**NetApi ライブラリに、ユーザおよびグループ管理に関するさまざまな APIが新規に実装された |
||
**libsmbclient が、ファイルシステムに依存する大文字小文字の識別要否を指定できるようになった |
|||
== 全体的な変更点 == |
== 全体的な変更点 == |
||
Windows の時刻精度の完全なサポートが新たに追加された。これにより、Linuxカーネル(2.6.22以上)とglibc(2.6以上)がサポートされているバージョンであれば Windows の 100ns 単位の時刻精度が利用可能となった。 |
|||
tdbsam 認証データベースのバージョンが上昇しました。これは、主に「passdb backend = tdbsam」の設定をクラスタ環境で動作させるため、 RID |
|||
Using Samba の HTML が Samba の tar アーカイブから削除された。これは http://www.samba.org/samba/docs/using_samba/toc.html で提供を続けている。 |
|||
カウンタ関連の情報が winbindd_idmap.tdb から passdb.tdb ファイルに移動したためです。 |
|||
passdb.tdb ファイルを更新してしまうと、Samba 3.3.0 より前のバージョンとは互換性がなくなってしまうことに注意。「passdb backend = tdbsam」を |
|||
net、smbclient といった Samba のクライアントツールや libsmbclient がログオンの際に Winbind によってキャッシュされた資格情報を用いることが可能となった。これにより Nautilus から Samba サーバに接続する際にユーザ |
|||
設定する前に、bassdb.tdb ファイルをバックアップしておくこと。ファイルを更新する前に「tdbbackup /etc/samba/passdb.tdb」を実行してください。 |
|||
名とパスワードを再入力する必要がなくなるためとても便利である。この機能はデフォルトで有効となっているが、環境変数 LIBSMBCLIENT_NO_CCACHE を設定することでアプリケーション単位に無効とすることも可能である。 |
|||
== configure の変更点 == |
|||
セキュアでないデフォルト設定(「wide links = yes」および「unix extensions = yes」)を避けるため、「wide links」のデフォルト値が「no」に変更された。詳細については、以下を参照のこと: http://www.samba.org/samba/news/symlink_attack.html |
|||
configureオプションの「--with-libdir」は廃止されました。ライブラリ用のディレクトリは、既存の「--libdir」オプションにより指定することが可能で |
|||
== プロトコルに関する変更点 == |
|||
す。共有モジュール用のディレクトリを別の場所に指定するため、「--with-modulesdir」オプションが新規に追加されました。 |
|||
実験的な実装ながら、SMB2 プロトコルが追加された。SMB2 は「max protocol = smb2」と設定することで有効にできる。SMB2 は Windows Vista 以降で実装された SMB プロトコルの新しい実装である。 |
|||
== |
== 設定の変更点 == |
||
新しいパラメータ「cups encrypt」が追加され、CUPS サーバへの接続を暗号化するかどうかを制御できるようになった。デフォルトでは暗号化されない接続が用いられる。 |
|||
「ldap ssl」パラメータのデフォルト値が「start tls」に変更となりました。これにより、Samba がディレクトリサーバと通信する際は、デフォルトで |
|||
== Winbind の変更点 == |
|||
LDAPv3 の StartTLS 拡張操作 (RFC 2830) が用いられることになります。ディレクトリサーバがこれに対応していない場合は、「ldap ssl = no」を指定す |
|||
Winbind デーモンは内部的にリファクタリングされ、非同期に動作するようになった。新しい Winbind では、「getent group」や「getent passwd」実行時に処理がブロックされない。 |
|||
る必要があります。この設定を行なわないと、Samba はディレクトリサーバと通信することができなくなってしまいます。 |
|||
== Winbind機構の idmap バックエンドの変更 == |
|||
== VFS モジュール == |
|||
idmap 周りの設定が Samba 3.3 で変更となり、「idmap backend」パラメータを用いた Samba 3.0.25 より前の設定からのアップグレードが容易になりまし |
|||
新しい VFS モジュールである「scannedonly」が追加された。これはアンチウイルスのエンジンとやりとりを行い、ファイルがウイルスに汚染されているかどうかを記録するフィルタである。ユーザからは汚染されていないファイルのみをファイルシステム上で確認できる。 |
|||
た。この変更の趣旨は、Samba の開発者自身を含む多くの利用者にとって、Samba 3.0.25 形式の「idmap backend」パラメータによる設定が複雑過ぎるという結論がでたことによります。Samba 3.3 系列では、「idmap backend」パラメータを廃止予定のパラメータとしては扱わず、デフォルトの idmap バックエンドを指定するパラメータとして扱います。 |
|||
これにより、「idmap config <domain> : default = yes」の設定は参照されなくなりました。 |
|||
= 変更点 = |
|||
idmap alloc backend パラメータデフォルト値は、ID の割り当てが可能なバックエンドにする必要があります。デフォルトの場合、tdb および ldap バックエンドは ID の割当てが可能ですが、ad および rid バックエンドではできません。idmap alloc range は「古い」パラメータである「idmap uid」および「idmap id」を置き換えます。 |
|||
「idmap domains」パラメータは廃止されました。 |
|||
== winbind reconnect delay == |
|||
これは、新しいパラメータであり、Winbind デーモンがドメインのドメインコントローラ(DC)へのアクセスを試行する際に、DCへアクセスできないか、落ちていると判断するまでの待ち時間を秒単位で指定します。 |
|||
== Winbind 機構のエイリアス機能のサポート == |
|||
Winbind 機構のエイリアス機能は、管理者が Windows ドメインの完全修飾ユーザ名やグループ名(訳注:DOMAIN\user形式)をUNIX上でのアクセスに便利な短い名前にマッピングすることを可能とする機能です。これは smbd でサポートされている username map パラメータの機能と似ていますが、クライアントおよびサーバにおける Winbind 機構の PAM や NSS ライブラリにおいて使用することを第一の目的としている点が異なります。 |
|||
一例として、「DOMAIN\fred」というユーザのUNIX上での名前を「freddie」とした際の様子を示します。 |
|||
$ getent passwd "DOMAIN\fred" |
|||
freddie:x:1000:1001:Fred Jones:/home/freddie:/bin/bash |
|||
$ getent passwd freddie |
|||
freddie:x:1000:1001:Fred Jones:/home/freddie:/bin/bash |
|||
エイリアス機能のサポートは、個々の nss_info プラグインによって実装されます。一例をあげると、新しい「adex」プラグインは、Active Directory から読み取った uid 属性により、完全修飾名に対する短いログイン名を作成します。新規に追加された「hash」モジュールは、「短い名前 = 完全修飾名」というマッピングを記載したローカルファイルを用います。ユーザ名とグループ名両方のマッピングがサポートされています。 |
|||
詳細については、smb.conf(5) の「winbind nss info」パラメータおよび各プラグインのマニュアルページを参照してください。 |
|||
== idmap_hash == |
|||
idmap_hash プラグインは idmap_rid モジュールと類似の機能を提供しますが、uid および gid はドメインの SID から生成されます。具体的には、ユーザもしくはグループの RID の下位 19 ビットを uid の 0 - 19 ビットに割り当てた上で、ドメイン SID のハッシュの 96 ビット分をハッシュし、uid の 20 - 30 ビットまでを生成します。この結果生成された 31 ビットの uid や gid は、マシンおよび信頼されるドメイン間を通じて一意です。 |
|||
詳細については、idmap_hash(8) のマニュアルページを参照してください。 |
|||
== idmap_adex == |
|||
adex idmap/nss_info プラグインは、大企業に対応したプラグインであり、OU ベースのセルの削除をサポートするためのものです(セルを管理するWindows の機能はまだ実装されていません)。 |
|||
このプラグインでは、以下がサポートされています。 |
|||
** RFC2307 スキーマに基づくユーザとグループのサポート |
|||
** 信頼されるドメインへの接続 |
|||
** グローバルカタログの検索 |
|||
** フォレスト間信頼 |
|||
** ユーザおよびグループのエイリアス |
|||
=== 事前準備=== |
|||
以下の属性を、グローバルカタログのPAS(Partial Attribute Set = 部分的な属性セット)に追加しておく必要があります。 |
|||
** uidNumber |
|||
** uid |
|||
** gidNumber |
|||
現在の最新のトランクにあるコードを用いた際の基本的な設定を以下に示します: |
|||
[global] |
|||
idmap backend = adex |
|||
idmap uid = 10000 - 29999 |
|||
idmap gid = 10000 - 29999 |
|||
winbind nss info = adex |
|||
winbind normalize names = yes |
|||
winbind refresh tickets = yes |
|||
template homedir = /home/%D/%U |
|||
template shell = /bin/bash |
|||
詳細については、idmap_adex(8) のマニュアルページを参照してください。 |
|||
== ライブラリ == |
|||
libsmbclient は、接続先のファイルシステムがファイル名の大文字小文字を識別する場合は、ファイル名の大文字小文字をデフォルトで識別するようになりました。これはバグ修正と考えて良いでしょう。以前のバージョンではファイルを新規作成する際に、大文字小文字を無視すると同じ名前になってしまうファイルがあると、上書きしてしまう可能性がありました。 |
|||
ファイルシステムが大文字小文字を識別するかを確認できない場合は、ユーザから指定できるオプション値が用いられます。 |
|||
== smb.confの変更点 == |
== smb.confの変更点 == |
||
| 55行目: | 133行目: | ||
Parameter Name Description Default |
Parameter Name Description Default |
||
-------------- ----------- ------- |
-------------- ----------- ------- |
||
cups connection timeout New 30 |
|||
idmap config DOM:range Removed |
|||
idmap domains Removed |
|||
init logon delayed hosts New "" |
|||
debug hires timestamp Changed Default yes |
|||
init logon delay New 100 |
|||
ldap |
ldap ssl Changed Default start tls |
||
share modes Deprecated |
|||
winbind reconnect delay New 30 |
|||
wide links Changed Default no |
|||
== 新しい configure オプション == |
|||
--enable-external-libtdb 外部の tdb ライブラリを有効にする |
|||
--enable-netapi netapi のサポートを有効にする |
|||
--enable-pthreadpool pthreads プールのヘルパーサポートを有効にする |
|||
--with-cifsumount umount.cifs (Linux のみ)のサポートを有効にする |
|||
--with-codepagedir=DIR codepage を配置する場所を指定する |
|||
(詳細な修正点は省 |
(詳細な修正点については省きました) |
||
== ダウンロードの詳細 == |
== ダウンロードの詳細 == |
||
| 82行目: | 152行目: | ||
リリースノートは以下から取得可能です: |
リリースノートは以下から取得可能です: |
||
*http://www.samba.org/samba/ftp/history/samba-3. |
*http://www.samba.org/samba/ftp/history/samba-3.3.0.html |
||
バイナリパッケージは以下から取得可能です: |
バイナリパッケージは以下から取得可能です: |
||
| 96行目: | 166行目: | ||
== 参考 == |
== 参考 == |
||
* [http://cgi.samba.gr.jp/pipermail/samba-jp/ |
* [http://cgi.samba.gr.jp/pipermail/samba-jp/2009-January/001830.html Samba 3.3.0 リリースの日本語訳] |
||
* [http://samba.org/samba/history/samba-3. |
* [http://samba.org/samba/history/samba-3.3.0.html Samba 3.3.0 リリースノート(英文)] |
||
2010年3月6日 (土) 03:06時点における最新版
Samba 3.3.0リリースノート(2009年1月27日)
これは Samba 3.3.0 の最初の安定版のリリースです。
Samba 3.3.0 の主な機能拡張点を以下に示します:
- 全体的な変更:
- tdbsam 認証データベースのバージョンが上がった
- 設定/インストール:
- ライブラリ用のディレクトリを、(本来の)ライブラリとそれ以外のモジュール用のディレクトリとに分離した
- 「ldap ssl」パラメータのデフォルト値が「start tls」に変更された
- ファイルサービス:
- クラスタ機能のサポートが拡充された
- NTFS の ACL を Samba のファイルサーバに格納するための vfs_acl_xattr および vfs_acl_tdb という実験的な VFS モジュールが新たに追加された
- Winbind:
- idmap関連の設定が簡素化された
- 新しいidmapバックエンドとして「adex」および「hash」がサポートされた
- 「winbind reconnect delay」パラメータが新たに追加された
- ユーザおよびグループのエイリアス機能がサポートされた
- idmap_adにおいて、複数のドメインがサポートされた
- 管理ツール:
- smbcontrolコマンドに、nmbdやwinbinddを含む実行中のデーモンすべてを意味する「all」デスティネーションが追加された
- 「net rpc vampire keytab」および「net rpc vampire ldif」コマンドが新規に追加された
- 「net」コマンドにより認証およびドメイン参加をする際に、Kerberosの使用が可能となった
- 「wbinfo」コマンドにより、認証情報のマッピング情報の追加、変更、削除が可能となった
- ライブラリ:
- NetApi ライブラリに、ユーザおよびグループ管理に関するさまざまな APIが新規に実装された
- libsmbclient が、ファイルシステムに依存する大文字小文字の識別要否を指定できるようになった
全体的な変更点
tdbsam 認証データベースのバージョンが上昇しました。これは、主に「passdb backend = tdbsam」の設定をクラスタ環境で動作させるため、 RID カウンタ関連の情報が winbindd_idmap.tdb から passdb.tdb ファイルに移動したためです。
passdb.tdb ファイルを更新してしまうと、Samba 3.3.0 より前のバージョンとは互換性がなくなってしまうことに注意。「passdb backend = tdbsam」を 設定する前に、bassdb.tdb ファイルをバックアップしておくこと。ファイルを更新する前に「tdbbackup /etc/samba/passdb.tdb」を実行してください。
configure の変更点
configureオプションの「--with-libdir」は廃止されました。ライブラリ用のディレクトリは、既存の「--libdir」オプションにより指定することが可能で す。共有モジュール用のディレクトリを別の場所に指定するため、「--with-modulesdir」オプションが新規に追加されました。
設定の変更点
「ldap ssl」パラメータのデフォルト値が「start tls」に変更となりました。これにより、Samba がディレクトリサーバと通信する際は、デフォルトで LDAPv3 の StartTLS 拡張操作 (RFC 2830) が用いられることになります。ディレクトリサーバがこれに対応していない場合は、「ldap ssl = no」を指定す る必要があります。この設定を行なわないと、Samba はディレクトリサーバと通信することができなくなってしまいます。
Winbind機構の idmap バックエンドの変更
idmap 周りの設定が Samba 3.3 で変更となり、「idmap backend」パラメータを用いた Samba 3.0.25 より前の設定からのアップグレードが容易になりまし た。この変更の趣旨は、Samba の開発者自身を含む多くの利用者にとって、Samba 3.0.25 形式の「idmap backend」パラメータによる設定が複雑過ぎるという結論がでたことによります。Samba 3.3 系列では、「idmap backend」パラメータを廃止予定のパラメータとしては扱わず、デフォルトの idmap バックエンドを指定するパラメータとして扱います。
これにより、「idmap config <domain> : default = yes」の設定は参照されなくなりました。
idmap alloc backend パラメータデフォルト値は、ID の割り当てが可能なバックエンドにする必要があります。デフォルトの場合、tdb および ldap バックエンドは ID の割当てが可能ですが、ad および rid バックエンドではできません。idmap alloc range は「古い」パラメータである「idmap uid」および「idmap id」を置き換えます。
「idmap domains」パラメータは廃止されました。
winbind reconnect delay
これは、新しいパラメータであり、Winbind デーモンがドメインのドメインコントローラ(DC)へのアクセスを試行する際に、DCへアクセスできないか、落ちていると判断するまでの待ち時間を秒単位で指定します。
Winbind 機構のエイリアス機能のサポート
Winbind 機構のエイリアス機能は、管理者が Windows ドメインの完全修飾ユーザ名やグループ名(訳注:DOMAIN\user形式)をUNIX上でのアクセスに便利な短い名前にマッピングすることを可能とする機能です。これは smbd でサポートされている username map パラメータの機能と似ていますが、クライアントおよびサーバにおける Winbind 機構の PAM や NSS ライブラリにおいて使用することを第一の目的としている点が異なります。
一例として、「DOMAIN\fred」というユーザのUNIX上での名前を「freddie」とした際の様子を示します。
$ getent passwd "DOMAIN\fred" freddie:x:1000:1001:Fred Jones:/home/freddie:/bin/bash $ getent passwd freddie freddie:x:1000:1001:Fred Jones:/home/freddie:/bin/bash
エイリアス機能のサポートは、個々の nss_info プラグインによって実装されます。一例をあげると、新しい「adex」プラグインは、Active Directory から読み取った uid 属性により、完全修飾名に対する短いログイン名を作成します。新規に追加された「hash」モジュールは、「短い名前 = 完全修飾名」というマッピングを記載したローカルファイルを用います。ユーザ名とグループ名両方のマッピングがサポートされています。
詳細については、smb.conf(5) の「winbind nss info」パラメータおよび各プラグインのマニュアルページを参照してください。
idmap_hash
idmap_hash プラグインは idmap_rid モジュールと類似の機能を提供しますが、uid および gid はドメインの SID から生成されます。具体的には、ユーザもしくはグループの RID の下位 19 ビットを uid の 0 - 19 ビットに割り当てた上で、ドメイン SID のハッシュの 96 ビット分をハッシュし、uid の 20 - 30 ビットまでを生成します。この結果生成された 31 ビットの uid や gid は、マシンおよび信頼されるドメイン間を通じて一意です。
詳細については、idmap_hash(8) のマニュアルページを参照してください。
idmap_adex
adex idmap/nss_info プラグインは、大企業に対応したプラグインであり、OU ベースのセルの削除をサポートするためのものです(セルを管理するWindows の機能はまだ実装されていません)。
このプラグインでは、以下がサポートされています。
- RFC2307 スキーマに基づくユーザとグループのサポート
- 信頼されるドメインへの接続
- グローバルカタログの検索
- フォレスト間信頼
- ユーザおよびグループのエイリアス
事前準備
以下の属性を、グローバルカタログのPAS(Partial Attribute Set = 部分的な属性セット)に追加しておく必要があります。
- uidNumber
- uid
- gidNumber
現在の最新のトランクにあるコードを用いた際の基本的な設定を以下に示します:
[global]
idmap backend = adex
idmap uid = 10000 - 29999
idmap gid = 10000 - 29999
winbind nss info = adex
winbind normalize names = yes
winbind refresh tickets = yes
template homedir = /home/%D/%U
template shell = /bin/bash
詳細については、idmap_adex(8) のマニュアルページを参照してください。
ライブラリ
libsmbclient は、接続先のファイルシステムがファイル名の大文字小文字を識別する場合は、ファイル名の大文字小文字をデフォルトで識別するようになりました。これはバグ修正と考えて良いでしょう。以前のバージョンではファイルを新規作成する際に、大文字小文字を無視すると同じ名前になってしまうファイルがあると、上書きしてしまう可能性がありました。
ファイルシステムが大文字小文字を識別するかを確認できない場合は、ユーザから指定できるオプション値が用いられます。
smb.confの変更点
Parameter Name Description Default -------------- ----------- ------- cups connection timeout New 30 idmap config DOM:range Removed idmap domains Removed init logon delayed hosts New "" init logon delay New 100 ldap ssl Changed Default start tls share modes Deprecated winbind reconnect delay New 30
(詳細な修正点については省きました)
ダウンロードの詳細
伸長した tar アーカイブおよびパッチファイルは GnuPG (ID 6568B7EA) を用いて署名されています。ソースコードは以下からダウンロード可能です:
リリースノートは以下から取得可能です:
バイナリパッケージは以下から取得可能です:
Our Code, Our Bugs, Our Responsibility.
(https://bugzilla.samba.org/)
--Enjoy The Samba Team
