Samba 2.2でサポートするドメイン参加機能は（プロトコル的には）Windows NT 4.0相当のものであり、Active Directory（以下AD）ドメインにも参加できるが、その際はNTLM（ハッシュパスワードによる）認証となる。今回のSamba 3.0では、Windows 2000相当のKerberos（チケット方式）認証が利用可能となる。セキュリティを重視するユーザーにとっては有用な機能だ。
  ただし、残念ながらADサーバーとしての機能は備わっていない。SambaサーバーをPDC（Primary Domain Controller）にした場合は、Kerberos認証は利用できなくなる。

  Samba 2.2のドメインコントローラ機能はWindows NT 4.0をベースに開発されているものの、Windowsクライアントとの通信で使用される文字コードはWindows 9xと同じシフトJISである。このため、一部のWindowsアプリケーションでは互換性の問題が発生していた。
  たとえば、Windows 9xのDOSプロンプトで問題が発生する【実行例1】。これは、本来Windows側の不具合なのだが、Unicodeを利用して通信するWindows NT 4.0では発生しない。
  Samba 3.0では、Windowsクライアントとの通信で使用される文字コードがWindows NT/2000/2003と同じUCS-2（Unicode）へと変更された。このため、Samba 2.2で問題となっていた通信時に使用される文字コードによるトラブル^（注1）も解決するだろう。
  このような通信経路のUnicode化は、個人ユーザーにとってそれほど大きなメリットではない。むしろ、Unicodeと既存文字コードとの変換テーブルの問題など、注意すべき点が増えている。

C:\> net use n: \\サーバー名\共有名
C:\> n:
N:\> mkdir 123456789
N:\> cd 123456789
N:\123456789> mkdir 漢字文字
N:\123456789> cd 漢字文字
N:\123456789\漢字文字5687> l
                      ↑余分な数字が入る

  Samba 2.2ではユーザー管理データベースとしてsmbpasswd、TDB、LDAPなどが利用できたが、LDAP機能を有効にしてコンパイルすると、LDAP以外のユーザー管理機構が使用できなくなった。そのため、ユーザー管理データベースを切り分けるには、それぞれの環境を構築しなければならない。しかしSamba 3.0では、このような作業は不要となり、smb.confのpassdb backendパラメータだけで切り替えられる 【表2】。なお、2.2のデフォルト設定と同じ状態にするには、

passdb backend = smbpasswd

としておけば良い。これによって、従来どおり/etc/samba/smbpasswd（と/etc/passswd）を参照する。
  詳細については後述するが、Sambaサーバーをドメインコントローラにして、WindowsのADドメインのような大規模なユーザー管理機構が必要ならば、ldapsam機能を利用したほうが良いだろう。
  ここで注意してほしいのが、「passdb backendパラメータはユーザー管理データベース（パスワードの格納先）を指定するものであって、認証方法を指定するものではない」という点だ。たとえば、ユーザー管理データベースにLDAPを利用したとしても、WindowsクライアントとSambaサーバーの認証については、（LDAPプロトコルによる）LDAP認証を使用できない。どのような場合でも、Sambaサーバーの認証は（SMBプロトコルの）NTLM認証となる（AD連携を使用したときのみKerberos認証）。
  さらに、SambaサーバーとLDAPサーバー間の接続は、LDAP管理者の権限でのみ行われ、各ユーザーの認証は、SambaサーバーがLDAP管理者の権限でLDAPデータを読み出した後、ユーザーのNTLM認証を行う仕組みになっている。
  以上の結果、passdb backendパラメータの推奨値は次のようになる。

• 新規に単体のSambaサーバーを構築するなら「tdbsam」
• 既存のSamba 2.2からそのまま移行したいなら「smbpasswd」
• 複数サーバーでドメインを構築したり、既存のNTドメインから移行したいなら「ldapsam」
• すでにSamba 2.2でLDAP環境を構築しており、3.0と混在させたいなら「ldapsam_compat」
• すでにNIS+やMySQLでOSのユーザー管理/認証を構築しているなら「nisplussam」や「mysqlsam」

  Windowsのファイル名には、DOS時代からの名残である8 . 3形式のシフトJ I Sコードで表現されるS F N（Short File Name）とWindows NTからサポートされたUnicodeで表現されるLFN（Long File Name）の2種類が存在する。これに対処するため、SambaにはUNIX/Linux上のファイル名からSFNおよびLFNを生成する名前マングリング機能（Name Mangling）が実装されている。従来のSamba 2.2では変換アルゴリズムが単純、かつ必要なときに生成されるため、SFNが永続的でなく、一部のプログラムで問題が発生した。
  一方、Samba 3.0では、名前変換のアルゴリズムが変更され、smb.confのmangling methodパラメータのデフォルトは新しいアルゴリズム「hash2」となった^（注2）。ただし、hash2アルゴリズムは現時点で日本語が考慮されていないので、従来の変換アルゴリズム「hash」を指定したほうが良いだろう。

  Windowsに付属する管理用のnetコマンドが、Sambaでも標準サポートされた。このコマンドによって、SambaサーバーとWindowsサーバー、いずれに対しても 【表3】 のような操作が可能となった。
  たとえば、Windows NT 4.0からの移行では、まずSambaサーバーをBDC（Backup Domain Controller）として追加し、「net vampire」コマンドでユーザー情報やグループ情報をSambaサーバー側へ複製する。その後、SambaサーバーをPDCとして設定し直せば、Windows NTドメインを簡単に移行できるわけだ。
  また、Windows NT 4.0ドメインとの信頼関係についても、netコマンドを使うことで簡単に実現できるようになった。

  Samba 2.2でWinbindを利用してWindowsドメインにユーザー管理機構を任せた場合、WindowsのRID（Relative ID：相対識別子）とLinuxのUID/GIDのマッピングはサーバーごとに行われるため、全マシンにおいて同一ユーザーが同じIDになるとは限らなかった。しかしSamba 3.0では、UIDのマッピングをLDAPに保存し、すべてのマシンで同一のIDが振られるようになった。当然、この機能を使う場合は、LDAPサーバーが必要となる。

  Sambaの共有に対しては、従来からsmb.confの中にread listパラメータやwrite listパラメータを指定してユーザーやグループへのアクセス制御が可能だった。Samba3.0では、これに加えてWindowsのサーバーマネージャおよびコンピュータの管理MMC（Microsoft Management Console）からACL（Access Control List）を設定できるようになった。これらの設定はLinuxから実行できないが、情報はsmb.confではなく、TDBの中に保存される。
  なお、個々のファイルやディレクトリに関するACLは、従来どおりファイルシステム（XFSなど）がサポートしていれば利用可能だ。

  従来のSamba 2.2でもsmb.confn中でDomain Adminsグループを指定できたが、Samba 3.0ではnetコマンドを実行することでWindowsと同等のグローバルグループが利用できるようになった。また、グループマッピング機能もサポートされたため、UNIX/LinuxのグループをWindowsのグループに対応可能だ。マッピングのサンプルとして、 【リスト1】 のようなものが用意されている。
  この機能によってSambaのグループ管理は高機能化されたが、逆にグループ管理の手順は大変面倒になった。たとえば、Samba 2.2ではグループ管理をOSに任せていたので、groupaddコマンドだけでOKだったが、Samba3.0ではgroupaddコマンドに加えて、netコマンドも実行する必要がある。とくに、LDAPSAM機能を使った場合のグループ管理は複雑で、初心者には敷居の高いものとなっている。
  Samba 3.0用のsmbldap-toolsはグループ管理に対応していないので、早急な改善が望まれる。

  前述のとおり、クライアントとの通信時の文字コードがシフトJISからUCS-2へ変更されたが、Samba 3.0では文字コードの変換方式についても変更されている。従来はcoding systemパラメータ、client code pageパラメータで文字コードを指定し、コード変換ロジックはSambaの内部に持っていたが、Samba 3.0では 【表4】 のパラメータで文字コードを指定し、コード変換は外部のiconvライブラリを使用するようになった【図】。
  各パラメータの値にはiconvライブラリがサポートする各種形式を指定するため、Samba 2.2日本語版のようなコード変換の不具合に対する修正を行う必要がなくなったものの、iconvライブラリの問題により、Samba 2.2で解決した日本語の問題が再発するようになった。さらにiconvライブラリでは、CAP（マッキントッシュとの共有用）やHEX（16進表記）が未サポートである。
  Samba 3.0で日本語が正常に扱えるかどうかは、iconvの機能と品質に依存してしまう。現在、WebDAVなどが抱えているものと同じ問題であり、「〜」や機種依存文字が利用できない。古い商用UNIXなどiconvライブラリを搭載していないUNIXマシンでは、Samba 3.0で日本語が利用できないので注意してほしい。
  日本語問題への対策についてはPart 2で解説する。

  DOSやWindows（95/98/Me系）で使われる文字コードは一般にシフトJISといわれるが、正確にはCP932^（注1）というマイクロソフト独自のものである。Linuxディストリビューションで標準的に使用されるglibcはCP932に対応していないため、日本語の変換において一部問題が発生する。同様に、FreeBSDや商用UNIXなどでも、CP932の変換に対応したライブラリを持っていない。つまり、一般的な環境では、Samba 3.0で正しく日本語を扱えないわけだ^（注2）。これを解決するには、次の2つの方法が考えられる。

1. glibcに対してCP932対応パッチを適用^（注3）
2. CP932対応パッチを適用したlibiconvの導入

• glibcにCP932対応パッチを適用する作業は複雑である
• glibcにCP932対応パッチを適用すると、Linuxディストリビューション側に備わっている自動アップデート機能が利用できなくなる
• 最近のLinuxディストリビューションはlibiconvを同梱していない

  これらを考慮すると、最近のLinuxディストリビューションおよびUNIX系であれば、CP932対応パッチを適用したlibiconvを導入すると良いだろう。ただし、glibcにCP932対応パッチを適用する場合はSambaの公式サイトにあるRPMパッケージが利用できるが、libiconvにパッチを当てる際はconfigureスクリプト実行時にlibiconvの指定が必要となるため、この処理を行ったRPMパッケージを利用しなければならない。

  日本Sambaユーザ会のサイトには、Red Hat Linux 9用およびMIRACLE LINUX 2.1用のCP932対応glibcパッケージとCP932対応libiconvパッケージが用意されている。なお、これらのソフトウェアはUNIX USER 2003年12月号付録CD-ROMにも収録しているので適宜利用してほしい。

  上記のLinuxディストリビューション以外を使用している場合は、【実行例1】のようにしてSRPMからRPMパッケージを作成してほしい。これによって、デフォルトでは/usr/src/redhat/RPMS/i386以下にRPMパッケージが生成されるので、それをインストールする。

# cd /usr/src/redhat/RPMS/i386/
# rpm --Uvh libiconv-1.8-1.i386.rpm

・Red Hat Linux 7.xの場合
# rpm --rebuild libiconv-1.8-1.src.rpm

・Red Hat Linux 8.0以降の場合
# rpmbuild --rebuild libiconv-1.8-1.src.rpm

  前述のとおり、CP932対応libiconvパッケージを導入した場合は、libiconv対応のRPMパッケージを利用する必要がある。該当するLinuxディストリビューション用のRPMパッケージがないときは、先ほどと同じようにSRPMから作成してほしい【実行例2】。あとは、これを利用してインストールするだけである。

# cd /usr/src/redhat/RPMS/i386/
# rpm --Uvh samba-3.0.0-3iconv.i386.rpm

・Red Hat Linux 7.xの場合
# rpm --rebuild samba-3.0.0-3iconv.src.rpm

・Red Hat Linux 8.0以降の場合
# rpmbuild --rebuild samba-3.0.0-3iconv.src.rpm

  ソースからコンパイルするときは、まずlibiconvのソースアーカイブとCP932パッチを入手する。

  libiconvのソースアーカイブを適当なディレクトリで展開し、パッチを適用する。

$ tar zxvf libiconv-1.8.tar.gz
$ zcat libiconv-1.8-cp932-patch.diff.gz | patch -p0

$ cd libiconv-1.8
$ ./configure --prefix=/opt/libiconv
$ make ; make check
# make install

$ /opt/libiconv/bin/iconv -l | egrep -i '(-31j|-ms)'
EUCJP-MS
CP932 WINDOWS-31J

  Samba本体のソースアーカイブ（samba-3.0.0.tar.bz2とsamba-3.0.0.tar.gzの2種類あるので、どちらかを利用する）は、 ftp://ftp.samba.gr.jp/pub/samba/ などから入手して、適当なディレクトリで展開する。

$ tar xvj（注4）f samba-3.0.0.tar.bz2
あるいは
$ tar xvzf samba-3.0.0.tar.gz

$ cd samba-3.0.0/source
$ ./configure --with-libiconv=/opt/libiconv/ --with-pam

$ make
# make install

$ make nsswitch/libnss_wins.so

# cp nsswitch/libnss_wins.so /lib

  ソースを利用して導入した場合、Sambaの実行ファイルなどはインストールされるが、設定ファイルがインストールされない。Sambaを動作させるには、これらのファイルの準備、およびシステム側の設定ファイルの変更が必要となる。
  なお、ここでは設定ファイルの内容の詳細については扱わない。ソースディレクトリのexamples以下やpackaging以下にはサンプルファイルなどが存在するので、これらを参考にすると良いだろう。

  smb.conf

  Sambaの設定ファイルであり、これがないとSambaは起動しない。Samba3.0.0で日本語を利用する場合は、必ず以下の3行を指定してほしい。

unix charset = EUCJP-MS
display charset = EUCJP-MS
dos charset = CP932

  1行目の指定は、CP932をサポートしたlibiconvやglibcを導入していないと利用できない（Smabaが起動しない）ので注意しよう。日本語ファイル名を考慮したサンプルファイルをUNIX USER 2003年12月号付録CD-ROMの/Speciall/samba-3.0-ja以下に収録したので、参考にしてほしい。
  なお、設定ファイルの置き場所は、configureスクリプトの「--with-configdir=<dir>」で指定したディレクトリとなる（デフォルトは/usr/local/samba/lib）。

  smbpasswd、passdb.tdb

  Sambaユーザー用のパスワードを格納するファイル。
configureスクリプトの「--with-privatedir=<dir>」で指定した場所（デフォルトは/usr/local/samba/private） に、pdbeditコマンドの実行によって自動的に作成される。
  LDAPを利用する場合を含めて、ファイル作成作業は必要ないが、格納されるディレクトリだけは必ず作成しておこう。

  SWAT用の設定

  Sambaの設定/管理をWebブラウザ経由で行うため、専用WebインターフェイスSWATが用意されている。これはinetd/xinetd経由、あるいはWebmin 経由で利用するが、前者の場合、/etc/servicesに次の行を追加しておく。

swat        901/tcp

  さらに、システムがinetdとxinetdのどちらを使用しているのか確認し、 【リスト1】 のような設定を行う。
  SWATでの認証用としては、各システムにあわせた設定が必要となる。たとえば、Red Hat Linux 9であれば、 【リスト2】 のような/etc/pam.d/sambaファイルを作成する。これは、ソースディレクトリのpackaging/RedHat以下にあるsamba.pamdをコピーしても良いだろう。

  /etc/logrotate.d/samba

  Sambaのログを定期的にローテーションさせるには、ログローテーション用の設定ファイルを用意する。たとえば、Red Hat Linux 9であれば、 【リスト3】 のような/etc/logrotate.d/sambaファイルを作成しよう。これは、ソースディレクトリのpackaging/RedHat以下にあるsamba.logをコピーしても良い。

  起動スクリプトの準備

  システム起動時にSambaを自動実行させるには、システムにあわせた起動用スクリプトを用意する。たとえば、Red Hat Linux 9であれば、 【リスト4】 のような/etc/rc.d/init/smbファイル^（注5）を作成しよう。
  また、Winbindを利用する場合は、 【リスト5】 のような起動スクリプトも用意すること。

（注5）	最近のFHSに準拠したLinuxディストリビューションでは、/etc/init.d/smbとなる。Red Hat Linux 9でも、/etc/init.dはシンボリックリンクとして存在する。

  Part 1でも説明したが、Samba 3.0の推奨設定ではスタンドアロンサーバー構築時のユーザー管理データベースとしてTDBを利用する。これは、Samba 2.2で一般的に利用していたsmbpasswdと比較して、性能や拡張性の面で優れている。
  実際の設定は、globalセクションでpassdb backendパラメータを指定する。

passdb backend = tdbsam

  Samba 2.2におけるユーザーの追加作業は、システム側のuseraddコマンドを実行した後、Samba側のsmbpasswdコマンドを実行した。一方、Samba 3.0ではpdbeditコマンド 【表1】 とnetコマンドが提供されている。
  たとえばSambaユーザーodagiriを作成する場合は次のように実行する。

# useradd odagiri ←システム側にユーザーを追加
# pdbedit -a -u odagiri

  pdbeditコマンドはpassdb backendパラメータとして「tdbsam」、「smbpasswd」、「ldamsam」のいずれかを利用した場合にユーザーを管理できるが、事前にシステム側でもユーザーを追加しておく必要がある。
  netコマンドでユーザーを追加する場合は、

# net rpc user add odagiri

と実行し、管理対象がSambaでもWindowsでもユーザー管理可能だが、ネットワーク経由でアクセスするためのユーザー/パスワードが必要だ。
  pdbeditコマンドとnetコマンドの大きな違いは、実行する場所である。pdbeditコマンドはSambaマシン上（root権限）で実行しなければならないのに対して、netコマンドはリモートのサーバーに対して実行可能で、Windows Server 2003にも対応している。しかも、smb.confでadd group scriptパラメータやadd user scriptパラメータを指定しておけば、システム側でのuseraddコマンドやgroupaddコマンドの実行を省略できる。
  ただし、netコマンドを実行する際は、Samba側に管理者ユーザー（rootやAdministrator）を登録しておき、そのユーザーとパスワードを用いることになる。したがって、通常はpdbeditコマンドを利用したほうが良いだろう。
  なお、Samba用パスワードの設定/変更は、smbpasswdコマンドで行う。

  Samba 2.2ではグループ管理機能を実装していなかったため、システム側のgroupaddコマンドでグループの追加を行えば良かった。ところが、Samba 3.0からはグループ管理機能を実装したため、groupaddコマンドに加えてnetコマンドでグループ管理を行わなければならない。さらに、SambaでWindowsドメイン環境を構築する場合、グローバルグループとローカルグループを区別できるようになったことで、管理上もこれらを使い分ける必要が出てきた。
  グループ管理におけるnetコマンドの書式は 【リスト2】のとおりで、たとえばスタンドアロンサーバー環境でローカルグループdevを作成するには、

# groupadd dev
# net groupmap add ntgroup=dev unixgroup=dev type=local

のように実行し、Sambaドメイン環境でグローバルグループdevを作成するには、

# groupadd dev
# net groupmap add ntgroup=dev unixgroup=dev type=domain

のように実行する。
  また、Sambaのグループ管理に先だって、次のグループを作成しておく必要がある。

• スタンドアロンサーバー環境で必須なグループ
  Administrators、Guests、Users
• Sambaドメイン環境で必須なグループ
  Domain Admis、Domain Guests、Domain Users

  これらのグループは、netコマンド^（注1）を利用して登録しておこう【実行例1】。UNIX/Linux側のグループ名wheel、nobody、smbusersは、それぞれの環境に応じてカスタマイズしてほしい。

# groupadd smbusers
# net groupmap modify ntgroup="Administrators" unixgroup=wheel
# net groupmap modify ntgroup="Users" unixgroup=smbusers
# net groupmap modify ntgroup="Guests" unixgroup=nobody
# net groupmap modify ntgroup="Print Operators" unixgroup=lp
# net groupmap modify ntgroup="Domain Admins" unixgroup=wheel
# net groupmap modify ntgroup="Domain Users" unixgroup=smbusers
# net groupmap modify ntgroup="Domain Guests" unixgroup=nobody

  ここまでの解説によって、「Samba 3.0ではユーザー管理が大変になった」と感じた人も多いのではないだろうか？たしかに設定やコマンドは面倒になったが、Samba 3.0ではWindowsからのユーザー/グループ管理が実現された。これによって、非常に管理しやすくなるだろう。
  Windows上での操作は、Windows NT/2000 Serverに付属するユーザーマネージャ（USRMGR.EXE）で行う【図1】。Windows 2000 ProfessionalやWindows XP、Windows Server 2003には付属しないが、Windows NT4.0やWindows 2000のサービスパックに含まれているので（「/x」オプション指定で展開できる）、これを利用すると良いだろう。
  ただし、ユーザーマネージャを利用するには、【リスト1】のようにsmb.confで次のパラメータを指定しておく必要がある。

• add user script
• add group script
• add user to group script
• delete user from group script
• set primary group script
• add machine script
• delete group script
• delete user script

  Samba 3.0.0をLDAPサーバーと連携させる場合、注意すべき点がある。LDAPスキーマを作成するための環境が用意されていないため、手順を間違えると正常に動作しないのだ^（注2）。この状況は、後述するsmbldap-toolsが改良されれば解決するだろう。

  Sambaのldapsam機能はOpenLDAPをベースに開発されているが、OracleやNovellなどのLDAPサーバーにも対応しており、スキーマさえ登録すれば問題なく利用可能だ。ここでは、OpenLDAP 2.0.27による構築方法を解説する。

  RPMパッケージの利用

  Red Hat系Linuxディストリビューションの場合、RPMパッケージが用意されているので、これらを利用すると簡単だ。
    http://updates.redhat.com/
    MIRACLE LINUX OpenLDAP
  具体的には、【実行例2】のようにインストールすれば良い。

【実行例2】RPMパッケージを利用したOpenLDAPのインストール

# rpm -Uvh openldap-2.0.27*.i386.rpm
# rpm -Uvh openldap-clients-2.0.27*.i386.rpm
# rpm -Uvh openldap-devel-2.0.27*.i386.rpm
# rpm -Uvh openldap-servers-2.0.27*.i386.rpm
# rpm -Uvh nscd-2.3.2*.i386.rpm
# rpm -Uvh nss_ldap*.i386.rpm

  ソースの利用

  RPMパッケージを利用できないOSについては、ソースを利用することになる。OpenLDAPのソースアーカイブは、次のサイトなどから入手可能だ。     http://www.openldap.org/
  2003年10月10日現在、RPMパッケージの最新版は2.0系がほとんどだが、ソースの最新版は2.1.23である。ここではRPMパッケージにあわせるために2.0系を用いるが、2.1系でも問題なく動作するだろう。
  ソースアーカイブを入手したら、適当なディレクトリで展開する。

# tar xfz openldap-2.0.27.tgz

  展開後、ソースディレクトリでconfigureスクリプトを実行するが、ここでは【実行例3】のオプションを指定した。オプションの詳細については、「--help」で出力される表示を参照してほしい。

# ./configure --help

  後は、依存関係を構築し、コンパイル、インストールすれば完了だ。

# make depend
# make
# make test
# make install

# cd openldap-2.0.27
# ./configure --prefix=/usr --exec-prefix=/usr\
> --bindir=/usr/bin --sbindir=/usr/sbin --sysconfdir=/etc\
> --datadir=/usr/share --includedir=/usr/include\
> --libdir=/usr/lib --libexecdir=/usr/libexec\
> --localstatedir=/var --sharedstatedir=/usr/com\
> --mandir=/usr/share/man --infodir=/usr/share/info\
> --with-slapd --with-slurpd --without-ldapd\
> --with-threads=posix --enable-shared --enable-static\
> --enable-ldbm -with-ldbm-api=gdbm --enable-passwd\
> --enable-shell -enable-local --enable-cldap\
> --disable-rlookups --with-kerberos=k5only --with-tls\
> --with-cyrus-sasl --enable-wrappers --enable-cleartext\
> --enable-crypt --enable-kpasswd --enable-spasswd\
> --libexecdir=/usr/sbin --localstatedir=/var/run

  OpenLDAPを利用するには、

• LDAPサーバー動作用
• LDAPクライアント用

という2種類の設定を行う必要がある。1.はLDAPデーモンを動作させるサーバーのみ行えば良く、2.はWindowsを除くすべてのUNIX/Linuxマシン（LDAPサーバーのマシン自体も含む）で行わなければならない。

  LDAPサーバー動作用の設定

  設定が必須なファイルは、/etc/openldap/slapd.confだけである。ここではSambaでドメイン環境を構築する際の関連事項のみ解説するので、OpenLDAPの詳細な設定方法については以下のWebページなどを参照してほしい。

• OpenLDAP 2.1 管理者ガイド
    http://www5f.biglobe.ne.jp/~inachi/openldap/
• Red Hat Linux参照ガイド第13章LDAP
    http://www.jp.redhat.com/support/doc/man/9/rhl-rg-ja.pdf

  まずは、 【リスト7】 に示したslapd.confのサンプルファイルを見てほしい。これをベースとして、次にあげる4つのパラメータに関連する作業を行う。

include

  Samba用のスキーマファイルの取り込みは、includeパラメータで指定する。Samba 3.0.0のソースアーカイブに含まれるexsample/LDAP/samba.schemaファイルを/etc/openldap/schema/samba30.schemaへコピーして、slapd.confで次のように設定する。

include /etc/openldap/schema/samba30.schema

  また、Samba 3.0.0を「--with-ldapsam」オプション付きでコンパイルした場合、Samba 2.2のソースコードに含まれるスキーマを/etc/openldap/schema/samba22.schemaへコピーし、次の設定を追加しておこう。

include /etc/openldap/shema/samba22.shema

suffix

  ベースサフィックスはsuffixパラメータで指定する。これは、最低でも1つ以上設定しなければならない。ユーザー側で自由に設定できるが、全世界でユニークになるようにDNSドメイン名と同じものを使用するのが一般的だ。

suffix "dc=miraclelinux,dc=com"
suffix "dc=softbank,dc=co,dc=jp"
suffix "ou=naniwa,dc=unixuser,dc=jp"

  ここで「dc」はDomain COmponent、「ou」はOrganization Unitを意味している。これ以外に「c」（Country）や「o」（Organization）なども使われるが、ユニークであれば何を使ってもユーザーの自由である。また、大文字・子文字の区別はない。

rootdn

  LDAPサーバーの管理者DN（Distinguished Name：識別名）は、rootdnパラメータで指定する。なお、管理者などユーザー用のDNについても自由に設定可能で（ベースサフィックスを含む必要がある）、大文字・子文字の区別はない。

rootdn "cn=Manager,dc=miraclelinux,dc=com"
rootdn "cn=root,dc=softbank,dc=co,dc=jp"
rootdn "cn=Administrator,ou=Users,ou=naniwa,dc=unixuser,dc=jp"

rootpw

  LDAPサーバーの管理者パスワードは、rootpwパラメータで設定する。テスト環境では平文のパスワードを指定しても良いが、実運用では暗号化したものを用いてほしい。
  たとえば、パスワード「miracle」をMD5ハッシュする場合は、slappasswdコマンドを使用して次のように実行する。

# slappasswd -s miracle -h {MD5}
{MD5}0SLYzLSMIRdTdundlie/5A==

  ここで表示されたものをrootpwで指定すれば良い。

rootpw = {MD5}0SLYzLSMIRdTdundlie/5A==

  なお、rootdnパラメータとしてLDAPに登録されているユーザーを指定し、LDAP内にパスワードが格納されている場合は、rootpwを省略できる。
  設定終了後、OpenLDAPデーモンを起動しよう。

# service ldap start

  無事に起動したら、システム起動時に自動実行するように設定しておく。

# chkconfig ldap on

  LDAPクライアントとしての設定

  LDAPクライアントとなるすべてのUNIX/Linuxマシンでは、次の4つのファイルについて設定を行う必要がある。

• /etc/ldap.conf
• /etc/openldap/ldap.conf
• /etc/nsswitch.conf
• /etc/pam.d/system-auth

  Red Hat LinuxやMIRACLE LINUX V2.xでは、設定ツールauthconfigが提供されているので、これを利用すると良いだろう。LDAPサーバーが動作しているマシンではサーバーを127.0.0.1とし、それ以外ではLDAPサーバーのIPアドレスやホスト名を指定する【図4】。
  authconfigで設定後、/etc/nsswitc.confと/etc/openldap/ldap.conf、/etc/pam.d/system-authの内容が以下のように変更されるので確認しておこう。なお、authconfigが存在しない場合は、各ファイルを手動で修正していくことになる。

/etc/nsswitch.conf

ネームサービススイッチの設定ファイル/etc/nsswitch.confでは、次のようなLDAPに関する設定が必要となる。

passwd:   files  ldap
shadow:   files  ldap
group:    files  ldap

/etc/ldap.confと/etc/openldap/ldap.conf

nss_ldapとpam_ldapの設定ファイルである/etc/ldap.confを編集し、ユーザーの組織と検索ベースを反映させる。/etc/openldap/ldap.confはldapsearchやldapaddなどのコマンドラインツール用設定ファイルであり、これもLDAP設定に合わせて編集する必要がある。
authconfigによって、両ファイルとも、

host 127.0.0.1
base dc=miraclelinux,dc=com

のように変更されているはずだが、さらに、

nss_base_passwd dc=miraclelinux,dc=com?sub
nss_base_shadow dc=miraclelinux,dc=com?sub
nss_base_group ou=Groups,dc=miraclelinux,dc=com?one
ssl no
pam_password md5

のような内容も追加しておこう。

/etc/pam.d/system-auth

PAM用設定ファイル/etc/pam.d/system-authには、次のような行が追加される。

auth sufficient /lib/security/pam_ldap.so use_first_pass

UNIX/Linuxにssh/telnetでログインして使用する場合は、自動ホームディレクトリ設定機能も指定しておくと良いだろう 【リスト8】。
最後に、各マシン上でnscd（Name Service Cache Daemon）を起動しておく。

# service nscd start
# chkconfig nscd on

これによって検索結果がキャッシュされるため、アクセスが高速になる（これを起動させなくてもLDAPの動作に支障はない）。

  SambaサーバーをPDC/BDCとしてドメインを構築する場合、PDC/BDC/メンバサーバーのsmb.confファイルを 【表2】 のように設定する。

  SambaとLDAPを利用した環境では、ユーザー情報はすべてLDAPに格納されているので、PDC/BDCといった役割は簡単に変更可能だ。したがって、Sambaを複数台利用する場合は、1台だけPDCを設定し、それ以外はすべてBDCにすると良いだろう。また、SambaをPDCにするときはWINSサーバーにしたほうが良いが、その際、WindowsクライアントにおけるWINS設定の変更も忘れずに行ってほしい。
  そのほか、smb.confで設定すべき項目は、次のとおりである（これ以外の項目についてはSWATのドキュメントなどを参照）。

  LDAPサーバーの指定

  LDAPを利用する場合、passdb backendパラメータでは「ldapsam」を指定するが、同時にLDAPサーバーのホスト名も指定する。

passdb backend=ldapsam:ldap://

  デフォルトは「localhost」なので、同一マシン上の設定であれば「:ldap://」の部分は省略可能だ。

  アカウント検索用DN

  アカウント検索用DNは、ldap suffixパラメータで設定する。ここでは「dc=miraclelinux,dc=com」とするため、次のように設定した。

ldap suffix="dc=miraclelinux,dc=com"

  LDAP管理者用DNとパスワード

  LDAP管理者用DNは、ldap admin dnパラメータで設定する。これは/etc/openldap/slapd.confでの指定と同一にしなければならない。したがって、ここでは以下のように設定した。

ldap admin dn = cn=Manager,dc=miraclelinux,dc=com

  また、LDAP管理者用パスワードは、smbpasswdコマンドで設定する。

# smbpasswd -w miracle

※

以上の説明を踏まえて、ここでは 【リスト9】 のような設定ファイルを用意した。最後に、Sambaを起動する。

# service smb start

  LDAPへの初期データの格納や、ユーザーやグループの管理用のツールとして、smbldap-toolsが用意されている。これはSambaのソースアーカイブに含まれるが、次のサイトで最新ソースコードやRPMパッケージが用意されているので、そちらを利用してほしい。
    http://samba.idealx.org/dist/

  必要なPerlモジュール

  smbldap-toolsはPerlで記述されており、以下のPerlモジュール^（注3）が必要なので、パッケージシステムなどを利用して導入してほしい。

IO-Socket-SSL-0.95.tar.gz
XML-NamespaceSupport-1.08.tar.gz
XML-SAX-0.12.tar.gz
Authen-SASL-2.04.tar.gz
Convert-ASN1-0.18.tar.gz
perl-ldap-0.29.tar.gz

  smbldap-toolsの導入によって、 【表3】 のスクリプト群がインストールされる。

（注3）	MIRACLE LINUX V2.1では、これ以外にもNet_SSLeay.pm-1.25.tar.gz、Test-Simple-0.47.tar.gz、File-Temp-0.14.tar.gzが必要だった。

  smbldap-populate.plの実行

  smbldap-toolsの使用前には、まず/etc/samba/smbldap_conf.pmファイルにおいて次の行を設定しておく。

$masterLDAP = <LDAPサーバーのホスト名>
$slaveLDAP = <LDAPサーバーのホスト名>
$suffix = <ベースサフィックス>
$binddn = <LDAP管理者DN>
$bindpasswd = <LDAP管理者パスワード>
$SID = <「net getlocalsid」コマンドで取得したSID>

  これ以外にも必要な項目については、適宜設定しておこう。
  後は、smbldap-populate.plスクリプトを実行するだけで、初期化データが投入される。

# smbldap-populate.pl

  SambaマシンやWindows NT/2000/XPをドメインメンバに追加する場合は、PDC上でドメインメンバのマシンアカウントを作成する。

  PDC上でのマシンアカウントの作成

  まずは、PDC上のroot権限で、ドメイン管理用ユーザーdomainaddを作成しよう。

# smbldap-useradd.pl -a -d /dev/null -s /bin/false \
> domainadd -g "Domain Admins"
# smbldap-usermod.pl -u 0 domainadd
# smbldap-passwd.pl domanadd

  後は、ドメインメンバのマシン分だけ以下のコマンドを実行する。

# smbldap-useradd -w <Windowsマシン名>

は英数字（子文字）で15バイト以下とし、日本語は使用できない。

  Windowsマシン上での作業

  Windows NT/2000/XP^（注4）上では、まずAdministratorとしてログオンする。コントロールパネルの「システム」のプロパティにおいて、「ネットワークID」タブの［ネットワークID］のボタンをクリックしよう。「ユーザーアカウントとドメイン情報」において、Samba PDCで設定したdomainaddユーザーとパスワード、ドメイン名を入力する【図5】。最後に、「ドメインへようこそ」というダイアログが表示されればOKだ。

（注4）	Samba 2.2をPDCにしてWindows XP/Server2003をドメインに参加させる場合、Windows側の「ローカルセキュリティポリシー」を変更しなければならなかったが、Samba 3.0では必要なくなった。

  ユーザーの追加はsmbldap-toolsだけで可能だが（pdbeditコマンドは不要）、グループの追加にはsmbldap-toolsに加えて「net groupmap」コマンドが必要となるので注意しよう。とくに、必須グループ（Domain Admis、DomainGuests、Domain Users）の登録を忘れないでほしい。
  たとえば、Sambaユーザーodagiriを作成する場合は、

# smbldap-useradd.pl -a -m odagiri

と実行し、Sambaドメイン環境でグローバルグループdevを作成する場合は次のように実行する。

# smbldap-groupadd.pl dev
# net groupmap add ntgroup=dev unixgroup=dev type=domain

  設定とユーザーの追加が終了したら、Windowsクライアントをリブートし、設定したWindowsドメインへログオンする。事前にログオンスクリプトを準備しておけば、問題なく動作するはずだ。

  Samba 3.0での移行手順は、Samba 2.2の場合と少し異なっている。Samba 3.0では作業手順が大幅に減少するうえ、新しいLDAP用Samba 3.0スキーマを利用すると、各ユーザーのSIDやRID、プライマリグループ情報など、Samba 2.2では移行できなかった情報や移動プロファイルなどにも対応できる（Samba2.2互換LDAPスキーマを使用した場合は、移動プロファイルなどが移行できない）。
  SIDが保持できるようになったことで、Windows NT上のNTFSにおけるACL情報もSamba 3.0へ移行可能だ。ただし、Samba 3.0側にはXFSなどのACLをサポートしたファイルシステムが必要となる。

  それでは、実際に移行作業を行ってみよう。ここでは、Part 3の 【リスト9】 に示したsmb.confをベースに解説する。

1. netコマンドによるSIDのコピー

     まずは、Samba起動用の設定ファイルsmb.confを準備しよう。Part 3の 【リスト9】 から変更する点は、次のパラメータである。

   domain master=no
   os level = 20
   wins server= <Windows PDCのWINSサーバー>
   

     そのほか、LDAPのスキーマとしてSamba 2.2互換モードを利用したい場合は、以下のパラメータも変更する。前述のとおり、これを利用することで移動プロファイルなどが移行できなくなるので注意してほしい。

   passdb backend = ldapsam_compat
   ldap server = <LDAPサーバー名>
   ldap port = 389
   

     Sambaを起動する前に、netコマンドで既存のSIDをSamba側へコピーする。

   # net rpc getsid
   

     実行後、Windows NT側とSamba側のSIDを表示させ、内容が同じであることを確認しよう【実行例1】。

   【実行例1】SIDの表示

   ・Windows NT側
   # rpcclient <NTサーバー名> -U Administrator%<パスワード> -c 'lsaquery'
   
   ・Samba側
   # net getlocalsid
   

   
   
2. NTドメインへのSambaマシンの追加

     続いて、SambaマシンをBDCとしてNTドメインへ参加させる。これは「net join」コマンドによって行う。

   # net rpc join -S winnt -w <ドメイン名> \
   > -U Administrator%<パスワード>
   

     Sambaを起動して、正常に参加できているかを確認しよう。

   # service smb start
   

     確認後、smbldap-populate.plスクリプトによって初期化を行う。

   # smbldap-populate.pl
   

3. 共有データのコピー

     共有データをSamba側へコピーする場合は、Windowsクライアントからエクスプローラでドラッグ＆ドロップするのが簡単だ。ただし、Samba側でACLサポートのファイルシステムを利用しており、アクセス権限もコピーしたいときは、「/O」オプション指定のXCOPYコマンドを用いること。

   XCOPY <コピー元> <コピー先> /S /E /O /H /G /C
   

4. ユーザー/グループ情報の移行

     netコマンドのvampire機能を利用して、ユーザー/グループ情報をSamba側へ移行させる。

   # net rpc vampire -S winnt -U Administrator%<パスワード>
   

5. SambaマシンをPDCとして設定

     後は、Part 3で解説したように、SambaをPDCとして起動すれば完了だ。

  NTドメインから移行してみたところ、現状では以下のような制限が存在した。実際に移行するときは、この点に注意してほしい。

• 日本語やシングルクォート（'）を使ったユーザー/グループ、および名前の先頭が数字のユーザー/グループは移行できない（UNIX/Linux側の制限）
• ホームドライブとしてネットワークドライブを指定しているユーザーは移行できない
• マシンアカウントがou=Computersではなくou=Usersに登録される。ou=Computersに変更するには、LDAPデータをLDIFファイルにエクスポートし、DNを変更してからインポートする

  Samba 2.2においてユーザー管理データベースにsmbpasswdを使用していた場合、smb.confで、

passdb backend = smbpasswd

と指定すれば、smbpasswdによって継続利用できる。

  smbpasswdからtdbsamへ変更したい場合は、pdbeditコマンドを使用する。

# pdbedit -i smbpasswd:/etc/smbpasswd \
> -e tdbsam:/etc/samba/passdb.tdb

これによって、/etc/smbpasswdのデータが/etc/samba/passdb.tdbへ移行される。

  Samba 2.2でLDAPを使ったPDCを構築している場合は、まずslapcatコマンドによってLDAPデータをLDIFファイルへエクスポートする。

# slapcat -l <LDIFファイル>

  後は、このLDIFファイルを利用して、Samba 3.0.0のソースアーカイブ（examples/LDAP以下）に含まれるconvertSambaAccountスクリプトでSamba 3.0用スキーマへ変換する。

# convertSambaAccount --sid=<SID> \
> --input=<変換前のLDIFファイル> \
> --output=<変換後のLDIFファイル>

変換後のLDIFファイルを、slapaddコマンドでLDAPへ投入すれば完了だ。

# slapadd -l <LDIFファイル>