第3章 HP CIFSの導入モデル

この章では，Samba ドメインモデル，HP CIFS Server のみの構成，あるいは Windows NT / Active Directory ドメインモデルのいずれかのドメインの役割に基づいて HP CIFS Server を構成する方法について説明します。

この章では次のような項目について説明します。

3.1 ドメインの役割

ここでは，それぞれ異なる役割を持ついくつかのドメイン用に HP CIFS Server を構成する方法について説明します。

3.1.1 プライマリ・ドメインコントローラ

各ドメインには，必ずプライマリ・ドメインコントローラが存在します。プライマリ・ドメインコントローラ(PDC)はドメイン内でいくつかのタスクを担当します。以下にそれらを示します。

ユーザログオン時の認証，およびドメインメンバーのワークステーションの認証を行います。
ドメインのユーザアカウントおよびグループ情報を管理します。
プライマリ・ドメインコントローラにドメイン管理者としてログオンしたユーザは，ドメインに所属する任意のマシンの Windows ドメインアカウント情報を追加，削除，変更できます。
ドメイン・マスターブラウザおよびその IP サブネットのローカル・マスターブラウザとして機能します。

3.1.2 バックアップ・ドメインコントローラ

バックアップ・ドメインコントローラ (BDC) には以下のような機能があります。

PDC に接続している広域ネットワーク・リンクがダウンしている場合でも，BDC を利用することにより，ユーザログオンの認証やドメインメンバーであるワークステーションの認証を行うことができます。
BDC は，ドメインのセキュリティとネットワークの一貫性の面で重要な役割を果たします。
ローカル・ネットワーク上の PDC の負荷が非常に高くなっている場合に，BDC がネットワーク・ログオン要求を引き受け，ユーザを認証できます。これによりネットワーク・サービスの堅牢性が向上します。
PDC で障害が発生したり，サービスの停止が必要な場合には，BDC を PDC に昇格させることができます。これはドメインコントローラ管理における重要な機能です。

3.1.3 ドメイン・メンバーサーバー

ドメイン・メンバーサーバーは，ドメイン・セキュリティには参加しますが，ドメインアカウント・データベースのコピーは持ちません。各ドメイン・メンバーサーバーは別々にローカルアカウント・データベースを持ちますが，ドメインコントローラあるいはトラステッド・ドメインが管理するアカウントを利用することもできます。

以下のメンバーサーバーがサポートされます。
- Windows NT
- Windows 2000 および Windows 2003
- HP CIFS Server
- Advanced Server for OpenVMS
ドメインユーザは，ファイル共有やプリンタ共有になどのドメイン・メンバーサーバーのリソースにアクセスすることができます。
メンバーサーバーは，ユーザ認証要求をドメインコントローラに渡してドメインユーザを認証します。

3.2 Windows ドメインモデル

Windows ドメインモデルは，次のような環境で使用できます。

Windows NT4，Advanced Server for OpenVMS，あるいは Windows 200x サーバーを (NetBIOS 機能を有効にして) 導入している。
ファイルおよびプリント・サービスを提供する任意の数の HP CIFS メンバーサーバーをサポートする。
さらに大規模な導入の場合は，複数のHP CIFS Server間のwinbind IDマップを保持するために，LDAP Enterprise Directory Serverにバックエンドストレージとしてアクセスする。

Windows ドメインモデルには次の利点があります。

Windowsドメインメンバーのシングルサインオン，ネットワーク・ログオン，およびWindowsアカウント管理システムを使用できる。
winbindを使用することで，複数のHP CIFS Server間のユーザ管理を簡単に行える。
簡単に機能拡張できる。

図 3-1は，Windowsドメイン導入モデルを示しています。

図 3-1 Windowsドメイン

Windows ドメインモデルでは，HP CIFS Server は，Windows NTまたはWindows 200x ドメインコントローラの管理下で，Windowsドメインにメンバーサーバーとして参加できます。 HP CIFS Server は，Windows ユーザに対して User ID (UID) および Group ID (GID) のマッピング機能を提供するために winbind をサポートしています。大規模な導入の場合は，LDAP ディレクトリを使用することで，複数の HP CIFS Server 間でユニークな ID マップを保持することができます。

3.2.1 Windows ドメインモデルのコンポーネント

HP CIFS Server は NT ドメインメンバーシップに対して使用される NTLMv1/NTLMv2 セキュリティをサポートするため，Windows 2000/2003 ADS，Windows 200x 混在モード，あるいは NT 環境で HP CIFS Server を管理できます。 HP CIFS Serverは標準のSAMデータベースをサポートしないため，Windows NT，Windows 2000，またはWindows 2003ドメインでドメインコントローラとして参加することはできません。 HP CIFS Server は winbind をサポートします。これを使用して，OpenVMS ユーザとグループを Windows ユーザとグループのマッピングに明示的に割り当てるのを回避することができます。 winbindは，Windowsユーザに対して UID とGID の生成機能およびマッピング機能を提供します。 SMB.CONF パラメータ idmap uid = <uid range>およびidmap gid = <gid range>を設定してください。 winbindについての詳細は，第7章「WINBIND のサポート」を参照してください。複数のHP CIFS Serverを配備する場合は，LDAPディレクトリを使用して複数のシステム間で一意のIDマップを保持することができます。この処理を行わないと，システム間でユーザマッピングの整合性が取れなくなります。 LDAPディレクトリ内でIDマップを一元管理するには，SMB.CONFファイル内のidmap backendパラメータをldap:ldap://<ldap server name>に設定します。

SMB.CONF パラメータ wins server = <Windows or NT WINS server address> を設定して，マルチサブネット・ネットワーク全体にアクセスできるように構成することもできます。

3.2.2 ADS ドメインモデルの例

図 3-2 は，ドメインコントローラ・マシンhpcif23，メンバーサーバーとして機能する HP CIFS Server マシン hpcif54，および Enterprise Directory Server システム hptem128 で構成される Windows 2000/2003 ADS ドメインモデルの例です。

図 3-2 ADS ドメインモデルの例

3.2.3 HP CIFS Server をネイティブの ADS メンバーサーバーとして構成する

HP CIFS Server を ADS メンバーサーバーとして構成するには，次の要件を満たしている必要があります。

HP CIFS Server が参加する Windows ドメインの PDC の完全修飾ドメイン名が， DNS サーバーを使用して IP を解決できる必要があります。
Kerberos のクロックスキュー・エラーを避けるために， Windows ドメインの PDC と HP CIFS Server の時間の差は 5 分未満にすべきです。

HP CIFS Server を ADS メンバーサーバーとして追加する手順は以下のとおりです。

Samba 構成ファイル SMB.CONF に次のパラメータを設定します。

[global]
workgroup = <NetBIOS_domain_name>
security = domain
domain logons = no
domain master = no
netbios name = <NetBIOS_name or CIFS_cluster_alisa>

ネイティブの ADS メンバーサーバーとして HP CIFS Server を正しく構成するためには，以下のパラメータを設定する必要があります。これらのパラメータについての説明は， 2.10 項「HP CIFS Server の構成」を参照してください。

security = ADS
realm = <ADS Realm>
password server = <Windowsドメインのドメインコントローラの大文字のFQDN>
client schannel = <yes/no/auto>
require strongkey = <yes/no>

さらに必要に応じて，同じ [global] セクションに以下のパラメータを追加します。

一般的な Samba 構成パラメータを指定するには，以下のパラメータを追加します。

server string = Samba %v running on %h (OpenVMS)
username map = /samba$root/lib/username.map
log file = /samba$root/var/%h_%m.log

ユーザおよびグループのアカウント情報を保管するための passdb バックエンドとして LDAP を使用する場合は，以下のパラメータを追加します。

passdb backend = ldapsam:ldap://<LDAPサーバーを実行しているノード名あるいはIPアドレス>
ldap admin dn = <LDAP Admin DN>
ldap passwd sync = yes
ldap suffix = <LDAP Admin DN>




	注記: passdb バックエンドとして使用する前に， LDAP を正しく設定しておく必要があります。バックエンドとして LDAP を使用するように HP CIFS Server を構成する方法については，第5章「LDAP統合のサポート」を参照してください。

HP CIFS Server を WINS クライアントとして構成して，HP CIFS Server が WINS サーバーを使用して NetBIOS 名を解決できるようにするためには，次のパラメータを追加します。

wins server = <WINSサーバーIPアドレス>
name resolve order = wins, lmhosts, bcast, hosts

CIFS が，ドメインのユーザおよびグループ・アカウントのための OpenVMS アカウントとリソース識別子を作成できるようにするには，次のパラメータを追加します。これらは，指定しなければマッピングされません。

idmap uid = <UID範囲>
idmap gid = <GID範囲>

idmap uid および idmap gid の範囲については，第7章「WINBIND のサポート」を参照してください。

OpenVMS ログイン・ディレクトリへのユーザ・アクセスを可能にする homes 共有を設定するには，次のパラメータを追加してください。

[homes]
 comment = Users home share
 browseable = no
 read only = no

testparm ユーティリティを実行して，サーバーがメンバーサーバーとして構成されていることを確認します。
$ @SAMBA$ROOT:[BIN]SAMBA$DEFINE_COMMANDS $ testparm
HP CIFS Server を ADS メンバーサーバーに加えます。
$ net ads join --user=<username-in-domain> Password:
参加を確認します。
$ net ads testjoin
HP CIFS Server を開始します。
$ @SYS$STARTUP:SAMBA$STARTUP

3.3 Samba ドメインモデル

次のような環境では Sambaドメイン導入モデルが使用できます。

HP CIFS Server によってドメインが構成されており，Windows ドメインコントローラが存在しない。
相応数のユーザにファイルサービスとプリントサービスを提供する任意の数の OpenVMS サーバーをサポートしている。
1つの HP CIFS Server がプライマリ・ドメインコントローラ (PDC) として構成されており，1 つ以上の HP CIFS Server がバックアップ・ドメインコントローラ(BDC)として動作している。
ドメインのアカウントは，HP OpenVMS Enterprise Directory Server などで作成された LDAP ディレクトリで管理される。
PDC および BDC は，ユーザの認証時などには，Samba LDAP バックエンド (ldapsam) を使用して LDAP ディレクトリサーバーにアクセスする。

Samba ドメインモデルには次の利点があります。

簡単に規模を拡張できます。
BDC として動作する HP CIFS Server は，ネットワーク・ログオン要求をピックアップできるので，ネットワーク上で PDC がビジー状態の場合でもユーザを認証できます。
PDC をサービスから除外する必要のある場合や，PDC に障害のある場合，BDC を PDC に昇格させることができます。 PDC-BDC モデルを使用すると，大規模なネットワークで認証の負荷を分散できます。
PDC，BDC，およびドメイン・メンバーサーバーは，アカウント・データベースを LDAP ディレクトリに保存するので，ネットワークのサイズに関係なく管理を一元化できる。

図 3-3は，ローカルにパスワード・データベースを持つ PDC として動作するスタンドアロンの HP CIFS Server を示しています。

図 3-3 PDC として動作するスタンドアロンの HP CIFS Server

図 3-4 は，LDAP バックエンドとして EDS (Enterprise Directory Server) を使用し，PDC として動作するスタンドアロンの HP CIFS Server を示しています。

図 3-4 EDS バックエンドを使用し，PDC として動作するスタンドアロンの HP CIFS Server

Standalone HP CIFS Server as a
PDC with NDS backend

図 3-5は，LDAP バックエンドとして EDS (Enterprise Directory Server) を使用する複数の HP CIFS Server を示しています。

図 3-5 EDS バックエンドを使用する複数の HP CIFS Server

Samba ドメイン導入モデルは，プライマリ・ドメインコントローラ (PDC) として構成された1つの HP CIFS Server と，バックアップ・ドメインコントローラ (BDC) として動作する 1 つ以上の HP CIFS Server によって構成されます。 PDC，BDC，およびメンバーサーバーは，一元化された LDAP バックエンドを使用し，LDAP ディレクトリ上で CIFS アカウントを統合しています。

3.3.1 Samba ドメインのコンポーネント

複数のサーバーが必要とされることが多いので，このモデルではディレクトリサーバーと LDAP アクセスを使用します。 POSIX と Windows のユーザ・データを統合管理するのに LDAP サーバーを使用します。 LDAP の設定方法については，詳細は，第5章「LDAP統合のサポート」を参照してください。

WINS 名前解決

マルチサブネット環境では WINS が使用されます。マルチサブネット環境では単一の IP サブネットのブロードキャスト制限を超えるため，名前と IP アドレスのマッピングが必要になります。 PC クライアントの構成にも WINS サーバーのアドレスを指定でき，これによって IP サブネット境界の外部にあるシステムのアドレスを認識できます。 HP CIFS Server を WINS クライアントとして構成するには，SMB.CONF グローバルパラメータ wins server を使用して WINS サーバーの IP アドレスを指定します。この際，HP CIFS Server が WINS サーバーとなることはできません。

3.3.1.1 PDC として動作する HP CIFS Server

PDC として構成された HP CIFS Server は，ドメイン全体の認証を担当します。 SMB.CONF グローバルパラメータ security = user，domain master = yes，および domain logons = yes を設定して，そのサーバーがドメインの PDC となるように指定してください。

CIFS PDC の重要な特性にブラウジング制御があります。パラメータ domain master = yes を指定すると，サーバーは，<domain name>1B という NetBIOS 名を登録します。 1B は，ドメイン・マスターブラウザ用に予約されています。この<domain name>1Bは，他のシステムがドメインの PDC を探す際に使用されます。

単一サーバー構成の場合は，tdbsam パスワード・バックエンドを使用することもありますが，設置する数が多い場合は，LDAP バックエンドを使用して CIFS ユーザを一元的に管理する必要があります。

HP CIFS Server を PDC として構成する方法については， 3.3.2.1 項「PDC として HP CIFS Server を構成」を参照してください。

3.3.1.1.1 制限事項

PDC のサポートに関しては以下の制限事項があります。

HP CIFS Server は，SAM (Security Account Management) のアップデート・デルタ・ファイルは作成できません。 HP CIFS Server は，PDC と通信して BDC が持つデルタ・ファイルから SAM の同期化を行うことはできません。
HP CIFS Server PDC は BDC へのアカウント情報の複製をサポートしていません。また，BDC を LDAP 以外のバックエンドと共に運用している場合は，SAMデータベースの同期が難しくなります。このため，バックエンドとして LDAP を使用することをお勧めします。 LDAP を使用したドメイン構成については，『Official Samba-3 HOWTO and Reference Guide』の Table 5.1 「Domain Backend Account Distribution Option」を参照してください。

3.3.1.2 BDC として動作するHP CIFS Server

BDC の構成は PDC の構成とよく似ています。 SMB.CONF グローバルパラメータ security = user，domain master = no，および domain logons = yes を設定して，そのドメインの BDC としてサーバーを指定します。これにより BDC がネットワークログイン処理の大部分を実行できるように構成することができます。このため，ローカルネットワーク上で PDC がビジー状態の場合でも，ローカルセグメント上の BDC がログオン要求を処理し，ユーザを認証します。セグメントの負荷が大きくなると，役割が他のセグメントの BDC や PDC に移され，負荷が分散されます。したがって，ネットワーク全体に BDC をディプロイすることで，リソースを最適化し，ネットワークサービスの堅牢性を向上させることができます。

SMB.CONF内でlocal masterパラメータをyesに設定すると，ブラウジングをネットワーク全体に広げることもできます。

使用している PDC のサービスを停止させる必要のある場合や，PDC が機能しなくなった場合は，BDC の1つをPDC に昇格させることができます。BDCをPDCに昇格させるには，domain master パラメータをnoからyesに変更します。

PDC とBDC は，一元化された LDAP ディレクトリを使用し，LDAP ディレクトリに共通の CIFS アカウントを格納します。 BDCとして動作している HP CIFS Server を LDAP ディレクトリと統合する場合は，HP LDAP ソフトウェアをインストールして，LDAP クライアントを構成する必要があります。 BDC は，Windows 認証用の LDAP ディレクトリにアクセスできます。

HP CIFS Server を BDC として構成する方法については， 3.3.2.1 項「PDC として HP CIFS Server を構成」を参照してください。

HP CIFS Server は真の SAM データベースだけでなくその複製も実装していません。 HP CIFS Server の BDC の実装は PDC と非常に良く似ていますが，重要な違いが 1 つあります。 BDC は，smb.conf パラメータ domain master を no に設定しなければならない点を除き，PDC と同じように構成されます。




	注記: `security` Windows ユーザ，クライアント・マシンアカウント，およびパスワードを `passdb backend` で保管および管理するには，このパラメータに `user` を設定してください。 `domain master` HP CIFS Server を BDC として機能させるには，このパラメータに `no` を設定してください。 `domain logon` netlogon サービスを提供するには，このパラメータには `yes` を設定してください。 `Encrypt passwords` このパラメータに `yes` を設定するとユーザ認証に使用するパスワードが暗号化されます。 HP CIFS Server を BDC として構成する場合は，このパラメータに `yes` を設定する必要があります。

3.3.1.2.1 BDC および PDC 間のアカウント・データベースの同期化

Advanced Server と Windows ドメインコントローラの場合と異なり，HP CIFS PDC および HP CIFS BDC 間のユーザアカウント・データベースの自動複製機能は提供されません。 HP CIFS 環境で自動複製を実現するには LDAP サーバーの助けを必要とします。 LDAP バックエンドを使用するように HP CIFS PDC および各 HP CIFS BDC を構成することにより，LDAP サーバー間で発生する同期化の結果としてアカウント・データベースの複製が可能になります。 HP CIFS は LDAP バックエンドを使用して，LDAP ディレクトリ (HP Enterprise Directory あるいは OpenLDAP サーバー) でユーザおよびグループアカウント情報を保管および入手することができます。 1 つの LDAP サーバーを HP CIFS PDC と BDC の両方として使用することは可能ですが，可用性と性能の観点から，HP CIFS PDC と BDC には別の LDAP サーバーを使用することをお勧めします。

passdb backend として tdbsam が指定されている場合，BDC と PDC 間の複製は下記のコマンドを実行することにより実現できます。

NET RPC VAMPIRE -S [NT netbios name or IP] -W [domainname] -U administrator%password

3.3.1.3 メンバーサーバーとして動作する HP CIFS Server

HP CIFS Server は，Samba ドメインに参加させることができます。Windows の認証要求は，LDAP，tdbsam，またはその他のバックエンドを使用して，PDC または BDC によって管理されます。サーバーをメンバーサーバーとして指定する場合は，SMB.CONF グローバルパラメータ security = domain，domain master = no，および domain logons = no を設定してください。 HP CIFS Server を Samba Domain に参加させる方法については，3.3.2.3 項「HP CIFS Server をメンバーサーバーとして構成」を参照してください。

メンバーサーバーにおける SMB.CONF の構成は，PDC や BDC での構成とは異なります。メンバーサーバーでは SMB グローバルパラメータ "security = domain" を設定する必要があります。これにより，メンバーサーバーがドメインコントローラに認証要求を送信することが可能になります。 PDC に制御を渡すには，domain master パラメータに no を設定してください。 PDC および BDC の場合と同様に，passdb backend パラメータに tdbsam を設定するとローカルの HP CIFS Server データベースにメンバーサーバー・アカウントが保管され，ldapsam を設定すると HP Enterprise Directory Server for OpenVMS などで作成された LDAP ディレクトリにアカウントが保管されます。

3.3.1.4 スタンドアロン・サーバーとして HP CIFS Server を構成

スタンドアロン・サーバーはネットワーク上でドメインコントローラには依存しません。定義によると，これは，ユーザおよびグループがローカルに作成および制御され，ネットワーク・ユーザ ID がローカルユーザ・ログインと一致しなければならないことを意味します。サーバーをスタンドアロン・サーバーとして指定するには，SMB.CONF グローバルパラメータ security = user および and domain logons = no を設定してください。

3.3.2 HP CIFS Server を手動で構成する

HP CIFS Server は，3.1 項「ドメインの役割」で説明している種々の役割を持つように，自動構成ユーティリティを使用して，あるいは Samba 構成ファイルを手動で編集して構成できます。 HP CIFS Server の構成に使用できる Samba 構成ユーティリティは SAMBA$ROOT:[BIN]SAMBA$CONFIG.COM です。このユーティリティを使用して HP CIFS Server を構成する方法については， 2.10 項「HP CIFS Server の構成」を参照してください。

以下の項では， Samba 構成ファイル SAMBA$ROOT:[LIB]SMB.CONF を手動で編集して HP CIFS Server を構成する手順を説明しています。このファイルには， HP CIFS Server を種々の役割を持つように構成するのに必要な Samba 構成パラメータとその値が記述されています。同じパラメータを SWAT ユーティリティから選択して HP CIFS Server を構成することもできます。




	注記: 以降の項で説明するパラメータについての詳細は， 2.10 項「HP CIFS Server の構成」を参照してください。

3.3.2.1 PDC として HP CIFS Server を構成

HP CIFS Server を PDC として構成する手順は以下のとおりです。

SMB.CONF ファイルに以下のパラメータを追加します (山括弧 < > で示した箇所は適切な値で置き換えます)。

[global]
 workgroup = <NetBIOS ドメインあるいはワークグループ名>
security = user
 domain logons = yes
 domain master = yes
netbios name = <NetBIOS コンピュータあるいはクラス別名>
add user to group script = @samba$root:[bin]samba$addusertogroup %g %u
 delete user from group script = @samba$root:[bin]samba$deluserfromgroup %g %u

さらに，必要に応じて同じ [global] セクションに次のパラメータを追加します。

一般的な Samba 構成パラメータを指定する場合は，下記のように追加します。

server string = Samba %v running on %h (OpenVMS)
 username map = /samba$root/lib/username.map
 log file = /samba$root/var/%h_%m.log

ユーザおよびグループ・アカウント情報を保管するための passdb バックエンドとして LDAP を使用するためには，次のパラメータを追加します。

passdb backend = ldapsam:ldap://<LDAPサーバーを実行しているノード名あるいはIPアドレス>
ldap admin dn = <LDAP Admin DN>
ldap passwd sync = yes
 ldap suffix = <LDAP Admin DN>




	注記: LDAP を passdb バックエンドとして使用する前に LDAP の設定を行う必要があります。バックエンドとして LDAP を使用して HP CIFS Server を構成する方法については，第5章「LDAP統合のサポート」を参照してください。

ワークスステーションをドメインに参加させるために，次のパラメータを追加して WINBIND マッピングを有効にします。

idmap uid = <UID範囲>
idmap gid = <GID範囲>




	注記: `idmap uid` および `idmap gid` パラメータについての詳細は，第7章「WINBIND のサポート」を参照してください。

HP CIFS Server を WINS クライアントとして構成して HP CIFS Server が WINS を使用して NetBIOS 名を解決できるようにするには，以下のパラメータを追加します。

wins server = <WINServer1 IPアドレス> <WINServer2 IPアドレス>
name resolve order = wins, lmhosts, bcast, hosts

プロファイルのローミングを有効にするには，次のように追加してください。

logon path = \\%L\profiles\%U

プロファイルのローミングについては，3.3.2.1.2 項「ローミングプロファイル」を参照してください。 3.3.2.1.2 項で説明するように， SMB.CONF に [PROFILES] 共有を追加することもできます。

ユーザがドメインにログインする際に実行する netlogon スクリプトを指定するには，次のようなパラメータを追加します。

logon script = <ログオン・スクリプトのパス>

ドメインへのユーザログイン時にユーザログオン・スクリプトが実行されるように netlogon 共有を設定るるには，以下のパラメータを追加します。

[netlogon]
 comment = Netlogon share
 path = /samba$root/netlogon
 read only = yes
 browseable = no
 guest ok = yes
 vms path names = no
 write list = @administrators, cifsadmin

netlogon 共有についての詳細は， 3.3.2.1.3 項「ユーザログオン・スクリプトの構成」を参照してください。

ユーザが OpenVMS ログイン・ディレクトリにアクセスできるようにするための homes 共有の設定には，次のパラメータを追加します。

[homes]
 comment = Users personal share
 browseable = no
 read only = no

testparm ユーティリティを実行して，サーバーが PDC として構成されていることを確認します。
$ @SAMBA$ROOT:[BIN]SAMBA$DEFINE_COMMANDS $ testparm
次のコマンドを実行して HP CIFS Server を起動します。
$ @SYS$STARTUP:SAMBA$STARTUP

3.3.2.1.1 HP CIFS ドメインへの Windows クライアントの追加

ここでは，HP CIFS PDC を持つドメインへ Windows クライアントを追加する方法について説明します。

Windows クライアント用の OpenVMS アカウントを作成します。アカウント名はクライアント・コンピューターと同じにし，ドル記号($)を後に1つ付与する必要があります。このドル記号はこのアカウントがマシンアカウントであることを示しています。次に例を示します。

$ MC AUTHORIZE ADD winstatn01$$ /FLAG=NODISUSER/UIC=[1000,1]




	注記: HP CIFS Server が PDC として構成されている場合，HP CIFS Server PDC に追加するワークステーション名は 11 文字を超えてはいけません。この制限は，OpenVMS ユーザ名の長さが `SYSUAF` データベースで 12 文字に制限されているために存在します。

クライアント・コンピューター用の HP CIFS マシンアカウントを作成します。 pdbedit ツールを使用してアカウントを作成し，それがマシンアカウントであることを指定します(マシン名の末尾にはドル記号は含めないでください。ドル記号は pdbedit が自動的に追加します)。このアカウント名は，上記の手順 1 でそのマシンに対して作成された OpenVMS アカウントと同一でなければなりません。
$ pdbedit -am winstatn01
このアカウントは他のアカウントと同じように表示することができますが，その際はドル記号を含む完全なアカウント名を指定する必要があります。次に例を示します。
$ pdbedit --list --verbose winstatn01$
注記: Samba 構成ファイル SMB.CONF で有効な範囲の idmap uid および idmap gid が指定されている場合，手順 1 および手順 2 は省略できます。
アカウントを作成した後，ドメインへ Windows ワークステーションを追加できます。 Windows クライアントから以下の手順を実行してください。
1. 任意のユーザとしてログインします。
2. 「マイコンピューター」右クリックし，「プロパティ」を選択します。
3. 「コンピュータ名」タブを選択します。
4. 「変更」ボタンをクリックします。
5. "次のメンバー" セクションで「ドメイン」オプションを選択し，HP CIFS ドメインの NetBIOS ドメイン名を指定します。「OK」をクリックします。
6. プロンプトに対してドメイン管理者の認証情報を入力します。成功したら，システムは welcoming you to the domain メッセージを表示します。「OK」をクリックします。
7. 「OK」をクリックし，システムリブートに関するメッセージに同意します。
8. 「OK」のクリックにより，名前の変更が完了しリブートが行われます。
  システムリブートの後，Windows Security ログイン・スクリーンが表示されます。ドメインの 'username' および 'password' を入力してください。「Logon to 」ドロップダウン・ボックスからドメイン名を選択します。「Logon to」ボックスが存在しない場合，「Options」ボタンをクリックして表示させてください。

3.3.2.1.2 ローミングプロファイル

PDCとして構成されたHP CIFS Serverは，以下の特徴を持つローミングプロファイルをサポートしています。

ユーザの環境設定，基本設定，デスクトップ設定などがHP CIFS Serverに保存されます。
ローミングプロファイルは共有として作成でき，Windowsクライアント間で共有可能です。
ユーザがドメイン内のワークステーションにログオンした場合，PDCとして構成されたHP CIFS Serverの共有からローカル・マシンにローミングプロファイルがダウンロードされます。ログアウト時には，ローカル・マシンのプロファイルがサーバーにコピーされます。

3.3.2.1.2.1 ローミングプロファイルの構成

ローミングプロファイルの構成手順は以下のとおりです。

SMB.CONFファイルのグローバルパラメータlogon pathを使用して，ローミングプロファイルを変更または使用可能にします。例を次に示します。
[global] #%L substitutes for this server's NetBIOS name, %U is the user name logon path = \\%L\profiles\%U
ローミングプロファイル用の[profiles]共有を作成します。ユーザプロファイル・ファイル用に使われるプロファイル共有に対して，profile acls = yesを設定します。通常の共有では，共有上に作成されるファイルの所有権が不正なものとなるため，profile acls = yesを設定しないでください。 [profiles]共有の構成例を以下に示します。
[profiles] profile acls = yes path = /samba$root/profiles read only = no create mode = 04600 directory mode = 04770 writeable = yes browseable = no guest ok = no vms path names = no
注記: SAMBA$CONFIG.COM ユーティリティを使用して HP CIFS Server を構成している場合は，デフォルトで PROFILES 共有を追加できます。

3.3.2.1.3 ユーザログオン・スクリプトの構成

ユーザログオン・スクリプトの構成は，以下の要件を満たしている必要があります。

ユーザログオン・スクリプトは，HP CIFS Server上のファイル共有[netlogon]に保存されている必要があります。
OpenVMS 実行可能権限が設定されている必要があります。
ログオン・スクリプトには，Windowsクライアントが認識できる有効なコマンドが含まれていなくてはなりません。
ログオン・スクリプトを実行するログオン・ユーザは，適切なアクセス権限を持っている必要があります。

ユーザ・ログイン・スクリプトの構成例を以下に示します。

[global]
 logon script = %U.bat
[netlogon]
 path = /samba$root/netlogon
 browseable = no 
 guest ok = no




	注記: SAMBA$CONFIG.COM ユーティリティを使用して HP CIFS Server を構成している場合は，デフォルトで NETLOGON 共有が追加されます。

3.3.2.2 HP CIFS Server を BDC として構成する

HP CIFS Server を BDC として構成するには，以下の手順を実行します。

Samba 構成ユーティリティ SMB.CONF で以下のパラメータを設定します。

[global]
 workgroup = <NetBIOSドメイン名>
 security = user
 domain logons = yes
 domain master = no
 netbios name = <NetBIOSコンピュータあるいはクラスタ別名>
 add user to group script = @samba$root:[bin]samba$addusertogroup %g %u
 delete user from group script = @samba$root:[bin]samba$deluserfromgroup %g %u

さらに，必要に応じて同じ [global] セクションに以下のパラメータを追加します。

一般的な Samba 構成パラメータを追加するために以下のように追加します。

server string = Samba %v running on %h (OpenVMS)
username map = /samba$root/lib/username.map
log file = /samba$root/var/%h_%m.log

ユーザおよびグループ・アカウント情報を保管するための passdb バックエンドとしてデフォルトの SAM データベースバックアップ (tdbsam) の代わりに LDAP を使用する場合，以下のパラメータを追加します。

passdb backend = ldapsam:ldap://<LDAPサーバーを実行しているノード名あるいはIPアドレス>
ldap admin dn = <LDAP Admin DN>
ldap passwd sync = yes
ldap suffix = <LDAP Admin DN>




	注記: `passdb backend` として使用する前に， LDAP を正しく設定しておく必要があります。 LDAP をバックエンドとして使用するための HP CIFS Server の構成に関する情報については，第5章「LDAP統合のサポート」を参照してください。

PDC からアカウントを複製するには，以下のパラメータを追加することにより WINBIND マッピングを有効にします。

idmap uid = <UID range>

idmap gid = <GID range>




	注記: `idmap uid` および `idmap gid` パラメータについての情報は，第7章「WINBIND のサポート」を参照してください。

(HP CIFS Server が WINS を使用して NetBIOS 名を解決できるように) HP CIFS Server を WINS クライアントとして構成するには，以下のパラメータを追加します。

 wins server = <WINSサーバーIPアドレス>
 name resolve order = wins, lmhosts, bcast, hosts

ドメインへのユーザ・ログイン時に実行される netlogon スクリプトを指定するには，次のように追加します。

logon script = <ログオン・スクリプトのパス>

ドメインへのユーザ・ログイン時にユーザ・ログオン・スクリプトを実行できるように netlogon 共有を設定するには，次のように追加します。

[netlogon]
 comment = Netlogon share
 path = /samba$root/netlogon
 read only = yes
 browseable = no
 guest ok = yes
 vms path names = no

netlogon 共有についての詳細は， 3.3.2.1.3 項「ユーザログオン・スクリプトの構成」を参照してください。

ユーザが OpenVMS ディレクトリに追加できるように homes 共有を設定するには，次のように追加します。

[homes]
 comment = Users share	
 browseable = no
 read only = no

testparm ユーティリティを実行してサーバーが BDC として構成されていることを確認します。
$ @SAMBA$ROOT:[BIN]SAMBA$DEFINE_COMMANDS $ testparm
WINS クライアントとしては構成されておらず，ドメイン PDC が HP CIFS Server BDC とは別のサブネットの場合， BDC の SAMBA$ROOT:[LIB]LMHOSTS. ファイルに次の 3 つのエントリが含まれている必要があります。
<PDC-IP-Address> <PDCname> <PDC-IP-Address> <Domainname>#1b <PDC-IP-Address> <Domainname>#1c
<PDC-IP-Addess> にはドメイン PDC の IP アドレスを指定し， <PDCname> には PDC のコンピュータ名を指定し， <Domainame> には SMB.CONF の workgroup パラメータに指定されている名前を指定します。
たとえば，HP CIFS ドメイン VMSCIFSDOM の HP CIFS Server PDC の名前が ROX3 で，その IP アドレスが 10.20.20.40 の場合，次のような LMHOSTS. エントリが必要になります。
10.20.20.40 VMSCIFSDOM#1b 10.20.20.40 VMSCIFSDOM#1b 10.20.20.40 ROX3
管理者認証情報とともに PDC の名前を指定して NET RPC JOIN コマンドを実行し，ドメインに参加します。以下に例を示します。
$ net rpc join -S <PDCname> --user administrator Password:
次のコマンドで参加を確認します。
$ net rpc testjoin
次のコマンドで HP CIFS Server を起動します。
$ @SYS$STARTUP:SAMBA$STARTUP
HP CIFS Server BDC を構成し起動した後， BDC，PDC，および BDC 間でアカウント・データベースを同期化する必要があります。同期化の方法については 3.3.1.2.1 項「BDC および PDC 間のアカウント・データベースの同期化」を参照してください。

3.3.2.3 HP CIFS Server をメンバーサーバーとして構成

ここでは，HP CIFS Server をドメインへ参加させる手順を説明します。ドメインのメンバーとなるためには，そのドメインで HP CIFS Server がアカウントを必要とします。このアカウント名は，SMB.CONF ファイルの "netbios name" パラメータで定義された HP CIFS Server の NetBIOS 名と一致する必要があります。 "netbios name" パラメータがデフォルト値である %h に設定されている場合，この環境変数 %h はローカル・システムのホスト名に変換されます。アカウント名にはドル記号が追加され，それがマシンアカウントであることが明示されます。複数のクラスタ・メンバーが同じ SMB.CONF ファイルを共有する HP CIFS クラスタ環境では，そのクラスタに対する単一のマシンアカウントが必要になり，その名前は SMB.CONF ファイルの "netbios name" パラメータで指定した値と一致しなければなりません。

マシンアカウントは，HP CIFS Server をドメインに追加する前か，HP CIFS Server をドメインに追加する最中のいずれかのタイミングで作成されます。前者の場合，管理者は次に示すように適切な方法を使用して，PDC タイプに依存するドメインにコンピューターを追加します。

Windows Active Directory Domain (Windows 2000 以降)
「Active Directory Users and Computers」管理インタフェースを使用して，新しいコンピューターアカウントを追加します。「Add Computer」ウィザードで，HP CIFS Server の NetBIOS 名 (ドル記号は省略) を指定し，「Assign this computer account as a pre-Windows 2000 computer」チェック・ボックスのみを選択します。
Advanced Server for OpenVMS
ADMIN インタフェースを使用して，次のようにコンピューターアカウントを追加します。
$ ADMIN ADD COMPUTER/TYPE=SERVER <CIFS server name>
上記の例で，最後の$記号は自動的に追加されるので指定しません。
HP OpenVMS CIFS
3.3.2.1.1 項「HP CIFS ドメインへの Windows クライアントの追加」で説明した方法で，OpenVMS アカウントと CIFS マシンアカウントを追加します。
Windows NT PDC
Server Manager アプリケーションを使用してドメインにコンピューターを追加できます。トップ・メニューから，「Computer」を選択し「Add to Domain」を選択します。「Windows NT Workstation or Server」ラジオ・ボタンをクリックし，HP CIFS Server の NetBIOS 名 (ドル記号は省略) を指定して「Add」をクリックします。

HP CIFS Serverがドメインに参加する前にコンピューターアカウントが作成されている場合，HP CIFS Serverの管理者は，ドメインにコンピューターを追加するための権限を持つアカウントのドメイン・ユーザ名とパスワードを指定する必要はありません。

ドメインに参加する前に HP CIFS Serverのコンピューターアカウントが作成されていない場合，管理者は，ドメインにコンピューターを追加するための権限を持つドメインアカウントのユーザ名とパスワードを指定する必要があります。たとえば Administrator アカウントなど。

3.3.2.3.1 HP CIFS Server を NT スタイル (ダウンレベル) メンバーサーバーとしてドメインに追加する

HP CIFS Server を NT スタイル (ダウンレベル) メンバーサーバーとしてドメインに追加するには，以下の手順を実行します。

Samba 構成ユーティリティ・ファイル SMB.CONF に以下のパラメータを設定します。

[global]

workgroup = <NetBIOSドメイン名>
security = domain
domain logons = no
domain master = no
netbios name = <NetBIOS名あるいはCIFSクラスタ別名>

HP CIFS Server をそのドメインの NT スタイル (ダウンレベル) のメンバーサーバーとして正しく構成するためには，以下のようなパラメータが必要になります。

これらのパラメータについては， 2.10 項「HP CIFS Server の構成」を参照してください。

password server = <パスワード・サーバー名>
client schannel = <yes/no/auto>
require strongkey = <yes/no>
vms asv domain = <yes/no>

さらに，必要に応じて同じ [global] セクションに以下のパラメータを追加してください。

一般的な Samba 構成パラメータを指定するには，以下のように追加します。

server string = Samba %v running on %h (OpenVMS)
username map = /samba$root/lib/username.map
log file = /samba$root/var/%h_%m.log

ユーザおよびグループ・アカウント情報を保管するための passdb バックエンドとして LDAP を使用するには，以下のパラメータを追加します。

passdb backend = ldapsam:ldap://<LDAPサーバーを実行しているノード名あるいはIPアドレス>
ldap admin dn = <LDAP Admin DN>
ldap passwd sync = yes
ldap suffix = <LDAP Admin DN>




	注記: passdb バックエンドとして使用する前に， LDAP は正しく設定しておく必要があります。バックエンドとして LDAP を使用するように HP CIFS Server を構成する方法については，第5章「LDAP統合のサポート」を参照してください。

HP CIFS Server が WINS サーバーを使用して NetBIOS 名を解決できるように HP CIFS Server を WINS クライアントとして構成するには，以下のパラメータを追加します。

wins server = <WINSサーバーIPアドレス>
name resolve order = wins, lmhosts, bcast, hosts

ドメイン・ユーザおよびグループ・アカウントに対する OpenVMS アカウントとリソース識別子は明示的にはマッピングされませんが， CIFS がこれらを作成できるようにするには，以下のようなパラメータを含めます。

idmap uid = <UID範囲>
idmap gid = <GID範囲>




	注記: `idmap uid` および `idmap gid` の範囲については，第7章「WINBIND のサポート」を参照してください。

OpenVMS ログイン・ディレクトリに対するユーザ・アクセスを可能にするために homes 共有を設定するには，次のように追加してください。

[homes]
	comment = Users home share
	browseable = no
	read only = no

testparm ユーティリティを実行して，サーバーがメンバーサーバーとして構成されていることを確認してください。
$ @SAMBA$ROOT:[BIN]SAMBA$DEFINE_COMMANDS $ testparm
WINS クライアントとして構成されておらず，ドメイン PDC が　HP CIFS Server と同じ IP サブネットに存在しない場合， SAMBA$ROOT:[LIB]LMHOSTS. ファイルに次のようなエントリが必要になります。
<PDCのIPアドレス> <ドメイン名>#1b <PDCのIPアドレス> <ドメイン名>#1c <PDCのIPアドレス> <PDC名>
たとえば，ドメイン ACCOUNTSDOM の PDC の名前が PIANO でその IP アドレスが 10.20.30.40 の場合，次のような LMHOSTS. エントリを追加する必要があります。
10.20.30.40 ACCOUNTSDOM#1b 10.20.30.40 ACCOUNTSDOM#1c 10.20.30.40 PIANO
次のように，HP CIFS Server を NT スタイル (ダウンレベル) のメンバーサーバーとして参加させます。
$ net rpc join -S <PDC name> --user=<domain administrator account name> Password:

参加を確認します。

$ net rpc testjoin




	注記: HP CIFS Server をネイティブな Active Directory メンバーサーバーとして構成するには，3.2.3 項「HP CIFS Server をネイティブの ADS メンバーサーバーとして構成する」を参照してください。

HP CIFS Server を起動します。
$ @SYS$STARTUP:SAMBA$STARTUP




	注記: NET RPC JOIN コマンドを実行する前に HP CIFS を開始する必要はありません。前述のように，このコマンドは，WINS (`SMB.CONF` に有効な wins サーバー・エントリが含まれる場合)，lmhosts. ファイルのエントリ，あるいはローカル・サブネットにおけるブロードキャストなどの標準の NetBIOS 名前解決手法を使用してドメインの PDC を探す機能に依存しています。 NetBIOS 名前解決が有効かどうかを確認するには，第11章「管理ツールのコマンド・リファレンス」で説明する nmblookup ツールを使用してください。別の方法として，NET RPC JOIN には，ドメイン PDC の名前 (--server) あるいは IP アドレス (--ipaddress) を指定するためのオプションが用意されています。名前が指定されている場合，NET RPC JOIN は NetBIOS 名前解決を使用してその IP アドレスを解決します。 NET RPC JOIN コマンドは，`SMB.CONF` ファイルに指定されている場合 "password server" パラメータを使用しません。ドメインに参加した後，サーバーがドメインに正しく参加しているかどうか確認するには，NET RPC TESTJOIN コマンドを使用してください。

3.3.2.4 HP CIFS Server をスタンドアロン・サーバーとして構成する

HP CIFS Server をスタンドアロン・サーバーとして構成するには，以下の手順を実行します。

Samba 構成ファイル SMB.CONF に以下のパラメータを設定します。

[global]
 workgroup=<NetBIOSワークグループ名>
 security =user
 domain logons = no
 domain master = no
 netbios name = <NetBIOSコンピュータあるいはクラスタ別名>