第5章 LDAP統合のサポート

5.1 概要

LDAP (Lightweight Directory Access Protocol)とは，集中管理インフラストラクチャを構築するための枠組みを提供するものです。LDAPは，アプリケーション，サービス，ユーザアカウント，Windowsアカウント，および構成情報を集中管理するためのLDAPディレクトリに統合することによって，ディレクトリ対応のコンピューティングをサポートします。

多数のユーザとサーバーを抱えた環境で HP CIFS を使用する場合は，HP CIFS ServerとLDAPサポートを統合することが望ましい場合があります。 複数のCIFSサーバーがLDAPディレクトリサーバーと通信できるように構成することにより，ユーザ・データベースを集中的かつスケーラブルに管理できるようになります。 HP CIFS Server を OpenVMS 上の LDAP 製品と統合する場合，HP CIFS Server は Enterprise Directory Server 上にユーザアカウント情報を保管することができます。 LDAP データベースは tdbsam あるいは NT サーバーのユーザ・データベースに取って変わることができます。

これまでpassdb.tdbファイルに格納されていたWindowsユーザ情報をLDAPディレクトリに格納することができます。 LDAP パスワード統合機能を使用するように HP CIFS Server が構成されている場合，SMBD プログラムは 認証および承認処理の際に LDAP ディレクトリを使用して Windows ユーザ情報を調べることができます。 また，ユーザ情報の追加，削除，変更のために pdbedit プログラムを起動する際，tdbsam バックエンドが使用する passdb.tdb ファイルではなく，LDAP ユーザ・データベースのアップデートが行われます。

LDAPサポートは，HP CIFS Serverの構成パラメータを使用することで有効にすることができます。 SMB.CONF の passwd backend パラメータに ldapsam を設定している場合，HP CIFS Server は LDAP ディレクトリサーバーにあるパスワード，ユーザ，グループ，およびその他のデータにアクセスします。

5.1.1 HP CIFS Serverの特長

LDAPをサポートするHP CIFS Serverには次の特長があります。

• LDAPがユーザ・データベースを集中管理するため，複数のCIFSサーバーでユーザアカウント情報を管理する必要性が低減されます。

• 複数のCIFSサーバーやユーザを容易にLDAPディレクトリ環境に追加できます。これによってHP CIFS Serverのスケーラビリティが大幅に向上します。

• LDAPディレクトリでユーザアカウント情報の保存および検索が可能です。

• tdbsamファイルに保存される情報には限りがあり，追加的な属性を保存することができません。LDAPサポートでは，スキーマを拡張することができるので，より多くのユーザ情報をLDAPディレクトリに保存できます。また，これによって社員やユーザのデータベースを別途用意する必要もなくなります。

5.2 ネットワーク環境

HP CIFS Serverは，さまざまなネットワーク環境をサポートしています。WINS，ブラウザ制御，ドメイン・ログオン，ローミングプロファイルなど，多くの機能は引き続き利用可能であり，さまざまなネットワーク環境をサポートできます。LDAP統合により，HP CIFSユーザ認証のための新たな解決策が利用できるようになります。

5.2.1 ドメインモデルのネットワーク

5.2.1.1 プライマリ・ドメインコントローラ (PDC)として動作するHP CIFS Server

PDCはWindows認証を担当しているため，PDCとして構成されたHP CIFS Serverは，tdbsamをLDAP対応のディレクトリサーバーに置き換えてWindows認証を実現します。Sambaに関するその他の構成項目は変更する必要はありません。

5.2.1.2 Samba PDC のバックアップ・ドメインコントローラ (BDC) として動作する HP CIFS Server

BDC もまた Windows 認証に使用されるため，BDC として構成された HP CIFS Servers は，ユーザ認証のために LDAP ディレクトリにアクセスできます。 BDC では SMB.CONF の domain master パラメータを no に設定できる点を除き，BDC の構成は PDC の構成と似ています。

5.2.1.3 メンバーサーバーとして動作するHP CIFS Server

ドメインモデルのネットワーク環境でメンバーサーバーとして動作する HP CIFS Server は，個々の Samba 構成を変更することなくそれぞれメンバーサーバーとして動作し続けることができます。 Windows の認証要求は，LDAP を使用しているか tdbsam を使用しているかに関係なく，引き続き PDC によって管理されます。

メンバーサーバー ( security = domain ) が LDAP を使用するように構成されている場合，PDC 経由で認証を行おうとします。 PDC 認証が失敗した場合，自身の SMB.CONF 構成ファイルに設定されている LDAP ディレクトリサーバー経由で直接認証を試みます。

5.2.2 ワークグループモデルのネットワーク

LDAP が有効になっている場合，ユーザモードの認証が失敗すると，認証は LDAP サーバーにフェール・バックします。 スタンドアロンのユーザモード・サーバーとして構成されたHP CIFS Serverは，tdbsamをLDAPディレクトリサーバーに置き換えることができます。

5.2.3 LDAP統合によるCIFS認証

LDAP統合により，複数のHP CIFS Serverが単一のLDAPディレクトリサーバーを共有できるようになり，ユーザ・データベースを集中管理できます。HP CIFS Serverは，LDAPディレクトリにアクセスしてWindowsのユーザ情報を検索し，ユーザ認証を行うことができます。 図 5-1 は，LDAPネットワーク環境でのCIFS認証を示しています。

図 5-1 LDAP統合によるCIFS認証

図 5-1 「LDAP統合によるCIFS認証」 に示された，Windows PC，CIFS Server，およびLDAPディレクトリサーバーの間で行われるユーザ認証のためのメッセージ交換について以下に説明します。

1. Windowsユーザが接続を要求します。

2. CIFS Serverは，Windows PCクライアントにchallengeを送信します。

3. Windows PCクライアントは，ユーザパスワードとchallenge情報に基づいてresponseパケットをCIFS Serverに送信します。

4. CIFS Serverは，LDAPディレクトリサーバーを調べてユーザデータを検索し，パスワード情報などのデータ属性を要求します。

5. CIFS Serverは，LDAPディレクトリサーバーからパスワード情報などのデータ属性を受け取ります。そのパスワードとchallenge情報が，クライアントのresponseパッケージに含まれる情報と一致すれば，Sambaユーザの認証は成功です。

6. ユーザ認証が成功し，有効なOpenVMSユーザに適切にマッピングできたら，CIFS Serverは，ユーザのトークンセッションIDをWindows PCクライアントに返します。

5.3 Directory Serverのインストールと構成

ここでは，HP OpenVMS Enterprise Directory の設定および構成方法について説明します。

5.3.1 Directory Serverのインストール

まだインストールされていない場合は，HP OpenVMS Enterprise Directory Server を設定する必要があります。 Directory Server のインストール方法については，『HP OpenVMS Enterprise Directory Installing』を参照してください。

5.3.2 Directory Server の構成

HP OpenVMS Enterprise Directory は，HP CIFS で LDAP バックエンドをサポートするために Samba Schema ファイルでアップデートされています。 これは，HP OpenVMS Enterprise Directory が HP CIFS の LDAP バックエンドとして動作するのを想定したものです。 LDAP の構成方法については，『HP OpenVMS Enterprise Directory Management Guide』を参照してください。

HP CIFS パスワード・バックエンドとして LDAP を構成する手順は以下のとおりです。

1. 以下のように，特権アカウントから Network Control Language (NCL) を起動し，次のコマンドを入力してHP CIFS固有のネーミング・コンテキストを作成します。

   $ MC NCL

   NCL> CREATE DSA NAMING CONTEXT "/DC=<domcompnentname>"

   /DC は，LDAP (X500) ツリーで作成された DIT (Directory Information Tree) 構造で指定されているドメイン名です。

2. DXIMを起動し，次のコマンドを入力してHP CIFS固有のディレクトリ・エントリを作成します。

   $ DXIM /I=C

   DXIM> CREATE "/DC=<domcomponentname>"ATTRIBUTES - _DXIM> objectClass=domain,DC=<domcomponentname>

   /DC は，LDAP (X500) ツリーで作成された DIT 構造で指定されるドメイン名です。

3. 次のコマンドを実行します。

   DXIM> SET PASSWORD "/DC=<domcomponentname>"

   初回時の場合， Old Password> プロンプトで Enter キーを押します。

   New Password> プロンプトに対し，新しいパスワードを指定します。

   Verify Password> プロンプトに対し，確認のために新しいパスワードを再入力します。

5.4 HP CIFS Serverの構成

HP CIFS Server で LDAP 機能のサポートを有効にするために，LDAPサーバーにアクセスする際に次のコマンドを使用して， 5.3.2 項 「Directory Server の構成」 手順3で作成したLDAP の admin アカウントのパスワードをHP CIFS で使用するために SAMBA$ROOT:[PRIVATE]SECRETS.TDB ファイルに追加し，HP CIFS Server の設定および構成を行なう必要があります。

smbpasswd -"W" <ldap-admin-password>

5.4.1 LDAP構成パラメータ

表 5-1に示すのは，LDAP を有効にして HP CIFS Server を構成する際に使用できる新しいグローバルパラメータです。 これらのパラメータは，SAMBA$ROOT:[LIB]SMB.CONF ファイルの global セクションで設定します。

ここで定義したグローバル設定は，LDAPサポートを備えたHP CIFS Serverによって使用されます。

表 5-1 LDAP関連のグローバルパラメータ

パラメータ	説明
ldap port	LDAPディレクトリサーバーに接続するために使用するTCPポート番号を指定します。デフォルトでは，このパラメータは389に設定されています。
ldap server	LDAP サーバーのホスト名あるいは IP アドレスを指定します。
ldap suffix	ユーザとマシンのアカウント情報を追加するディレクトリ・ツリーのベースを指定します。 LDAP にエントリーの検索開始位置を指示する検索ベースの識別名 (dn) としても使用されます。 たとえば，ベース DN が "dc=org, dc=hp, dc=com" の場合，ldap suffix = "dc=org, dc=hp, dc=com" を使用してください。
ldap user suffix	ユーザ情報を追加するディレクトリ・ツリーのベースを指定します。 このサフィックス文字列には，ldap suffix の文字列があらかじめ適用されますので，それらの識別名 (dn) を指定する必要はありません。 このパラメータを指定しなければ，ldap suffixの値が使用されます。 たとえば，HP CIFS Server を PDC として構成する場合， SMB.CONF で ldap user suffix = sambaDomainName=<workgroup> のように指定します。 HP CIFS Server をメンバーサーバーとして構成する場合， ldap user suffix = sambaDomainName=<netbios name> のように指定します。
ldap group suffix	グループ情報を追加するディレクトリ・ツリーのベースを指定します。 このサフィックス文字列には，ldap suffix の文字列があらかじめ適用されますので，それらの識別名 (dn) を指定する必要はありません。 このパラメータを指定しなければ，ldap suffix の値が使用されます。 たとえば，HP CIFS Server を PDC として構成する場合， ldap group suffix = sambaDomainName=<workgroup> in SMB.CONF のように指定します。 HP CIFS Server をメンバーサーバーとして構成する場合， ldap group suffix = sambaDomainName=<netbios name> のように指定します。
ldap admin dn	ユーザのアカウント情報を取り出すときにHP CIFS ServerがLDAPディレクトリサーバーに接続するために使用するユーザの識別名(dn)を指定します。 ldap admin dn は，secrets.tdb ファイルに保管されているパスワードと組み合わせて使用されます。 たとえば ldap admin dn = "cn = directory manager cn=users, dc=org, dc=hp, dc=com" のように設定します。
ldap delete dn	ldapsamの削除オペレーションで，エントリー全体を削除するか，またはSamba固有の属性だけを削除するかを指定します。 デフォルト値はNoで，Samba 属性だけを削除します。
ldap passwd sync	HP CIFS Serverが，パスワード変更時に通常のアカウントについて，NTおよびLMのハッシュとLDAPのパスワードを同期させるかどうかを指定します。このオプションには，以下の値のいずれかを設定します。 Yes: LDAP，NT，LMのパスワードをアップデートし，pwdLastSet時刻をアップデートします。 No: NTとLMのパスワードをアップデートし，pwdLastSet時刻をアップデートします。 Only: LDAPパスワードだけをアップデートし，後はLDAPサーバーにまかせます。 デフォルト値は，Noです。
ldap replication sleep	CIFSは，読み取り専用のLDAPレプリカへの書き込みを要求されると，その要求を読み書きマスターサーバーにリダイレクトします。このサーバーは変更をレプリケートし，ローカルサーバーに戻します。レプリケーションには，特に遅いリンク上であれば，数秒の時間がかかります。書込みが「成功」してもLDAPのバックエンドデータにはすぐに変更が反映されないため，クライアントによっては動作が混乱することがあります。このオプションを指定すると，LDAPサーバーの処理が追い着くまで，CIFSがしばらく待つようになります。値はミリ秒単位で指定します。最大値は，5000 (5秒)です。デフォルトでは，ldap replication sleep = 1000 (1秒)です。
ldap timeout	LDAPサーバーがダウンしているか到達不可能の場合に，HP CIFS Serverが，接続要求に対するLDAPサーバーからの応答を待つ時間(秒単位)を指定します。デフォルト値は，15(秒)です。
ldap idmap suffix	idmap マッピングを保管する際に使用されるサフィックスを指定します。 このパラメータが未設定の場合，代わりに ldap サフィックスの値が使用されます。 このサフィックス文字列には，ldap suffix の文字列があらかじめ適用されますので，それらの識別名 (dn) を指定する必要はありません。 デフォルトは ldap idmap suffix = です。 たとえば ldap idmap suffix = ou=Idmap のように設定します。
ldap machine suffix	ldap ツリーのどこにマシンを追加するかを指定します。 このパラメータが未設定の場合，代わりに ldap サフィックスの値が使用されます。 このサフィックス文字列には，ldap suffix の文字列があらかじめ適用されますので，それらの識別名 (dn) を指定する必要はありません。 デフォルトは ldap machine suffix = です。 たとえば ldap machine suffix = ou=Computers のように設定します。