第6章 ユーザとグループのマッピング

6.1 概要

HP CIFS Server は， CIFS あるいは SMB プロトコルを使用するファイル・サーバーとして， Windows のユーザおよびグループ・アカウントをベースにした Windows のようなファイル・セキュリティを提供する必要があります。 その一方で， HP CIFS Server はホスト・システムのファイル・セキュリティに依存しているため， UIC およびリソース識別子をベースにした OpenVMS のファイルセキュリティを使用する必要があります。 ユーザおよびグループ・アカウントのセキュリティ識別子(SID)とACL に基づく Windows のファイル・セキュリティの実装は， ユーザ UIC，リソース識別子，OpenVMS ACL に基づく OpenVMS のファイル・セキュリティとは異なります。 HP CIFS Server は，これら 2 つの異なるオペレーティング・システムのファイル・セキュリティの橋渡しを，次のようなマッピングによる方法で提供します。

この章では， HP CIFS Server が Windows あるいは CIFS ドメインのユーザとグループを OpenVMS のユーザおよびリソース識別子にマッピングするための いくつかの方法について説明します。 第10章 「ファイルとプリントのセキュリティ」 では， Windows から OpenVMS へのファイル・セキュリティのマッピングについて説明します。

ユーザおよびグループ・マッピング技術を使用すると， HP CIFS Server は CIFS ドメイン・ユーザを OpenVMS ユーザ名に割り当て， CIFS ドメイン・グループを OpenVMS リソース識別子に割り当てます。 内部的には， CIFS ドメイン・ユーザ SID と OpenVMS UIC，ならびに， CIFS ドメイン・グループ SID と OpenVMS リソース識別子値との間で マッピングが行われます。

6.2  CIFS ドメイン・ユーザとグループ

CIFS ドメイン・ユーザおよびグループは， 以下のデータベースのいずれかの ユーザおよびグループ・アカウントを参照することができます。

読みやすくするため，この章では， CIFS ドメイン・ユーザおよびグループの OpenVMS ユーザ名 (UIC) およびリソース識別子へのマッピングのことを， 単にユーザおよびグループのマッピングと呼びます。

この章では，ユーザ・マッピングのいくつかの方法について説明し， その後，グループのマッピングについて説明します。 ユーザのマッピングは必須ですが， ファイル・セキュリティが OpenVMS のリソース識別子に基づいており マップされた OpenVMS ユーザ名にこれらのリソース識別子が SYSUAF で直接与えられていれば， グループのマッピングはオプションです。 これについては， 6.4 項 「グループ・マッピングの別の方法」 で詳しく説明します。 HP CIFS Server のファイル・セキュリティが， マップされた OpenVMS ユーザ識別子 (UIC) およびリソース識別子をベースに 設定されている場合， ファイル・セキュリティを確立する前に ユーザとグループのマッピングに関して理解しておくことが重要です。

HP CIFS ファイル・セキュリティの実装についての詳細は 第10章 「ファイルとプリントのセキュリティ」 を参照してください。

6.3 ユーザのマッピング

ユーザのマッピングとは，CIFS ドメイン・ユーザを OpenVMS ユーザ名 (UIC) へマッピングすることです。 HP CIFS Server が CIFS ドメイン・ユーザを OpenVMS ユーザ名にマッピングする際に使用する方法には 3 種類の方法があります。

	注記: HP CIFS Server は，各ユーザ・アカウントが RIGHTLIST データベースに UIC 識別子を持っていることを前提とします。 たとえば， マップされる OpenVMS ユーザ名が GANGA で UIC が [600,600] の場合， UIC [600,600] の対応する識別子が RIGHTLIST データベースに存在する必要があります。

以降の項で，上記のユーザ・マッピング方法について説明します。

6.3.1 ユーザの自動マッピング

WINBIND が利用でき，SMB.CONF ファイルの idmap UID の範囲が 有効であれば， CIFS がメンバーとなっている Windows ドメインに属するユーザ， あるいはそのドメインが信頼するドメインのユーザは， 自動的に OpenVMS ユーザ名にマップされます。 このマッピング方法は，HP CIFS Server が PDC あるいは BDC の場合， 信頼されているドメインに属するユーザ・アカウントにも使用できます。 自動マッピングについての詳細は， 第7章 「WINBIND のサポート」 を参照してください。

6.3.2 暗黙のユーザ・マッピング

名前が同一であれば， CIFS ドメイン・ユーザを OpenVMS ユーザ名に暗黙にマップすることができます。

たとえば Windows ユーザ ANITA は， OpenVMS ユーザ名 ANITA が存在すれば，これに暗黙にマップされます。

デフォルトでは， 同じ名前の OpenVMS アカウントが存在すれば HP CIFS Server のローカル・ユーザの作成のみが可能で， HP CIFS Server のローカル・ユーザは OpenVMS ユーザ名に暗黙にマップされます。

たとえば，HP CIFS Server データベースでユーザ STEFFI を作成するには， 最初に OpenVMS ユーザ名 STEFFI を作成するか， すでに SYSUAF データベースに存在することを確認してください。 この上で，HP CIFS Server データベースにユーザを作成したい場合は， 以下の条件を満たす必要があります。

• HP CIFS Server のユーザ名が OpenVMS のユーザ名の命名規則に準拠している。 すなわち，ユーザ名がアルファベット文字，ドル記号($)，アンダースコア(_)のみで 構成される。 ユーザ名の先頭に数字は使用できない。

• OpenVMS ユーザ名の長さは 12 文字を超えることはできない。 このため，HP CIFS Server のローカル・ユーザ・アカウント名は 最大 12 文字に制限される。

6.3.3 項 では，この制限を回避する代替方法について 説明しています。

HP CIFS Server データベースにおけるユーザ・アカウントの作成および管理の 詳細については， 第8章 「ユーザ，グループ，アカウント・ポリシー，信頼関係の管理」 を参照してください。

6.3.3 明示的なユーザ・マップング

明示的なユーザ・マッピングにより，以下のことが可能になります。

• Windows ユーザ名と OpenVMS ユーザ名が同一でない場合， Windows ユーザ名を OpenVMS ユーザ名にマッピングします。

• 6.3.2 項で説明した 暗黙のユーザ・マッピングにおける制限事項を回避できます。

Windows ユーザ名と OpenVMS ユーザ名が同一でない場合，SMB.CONF の username map パラメータで定義されているテキスト・ファイルを使用して，それらのユーザ名を明示的にマッピングすることができます。

たとえば，CORP ドメインの Windows ユーザ名 Andrew Smith を OpenVMS ユーザ・アカウント ASMITH にマッピングするには， SAMBA$ROOT:[LIB]USERNAME.MAP を編集して次のような行を追加します。

asmith=corp\Andrew Smith

OpenVMS ユーザ名の命名規則の制限を回避するには， HP CIFS Server のローカル・アカウントを作成する際に， まず必要な OpenVMS と CIFS Server のローカル・アカウントを作成し， その後，Windows アカウントを OpenVMS アカウントにマッピングするように ユーザ名マップファイルにエントリを追加します。

たとえば，Windows ユーザ・アカウント Andrew Smith を作成する場合，以下の手順で行います。

1. ユニークな UIC で，たとえば ASMITH などの OpenVMS アカウントを作成します。

2. SAMBA$ROOT:[BIN]SAMBA$MANAGE_CIFS.COM ユーティリティあるいは PDBEDIT ユーティリティのどちらかを使用して， ASMITH という名前の HP CIFS Server ローカル・アカウントを作成します (この名前は，手順 1 で作成した OpenVMS アカウントと同一でなければなりません)。

3. username.map ファイルに対し，Windows ユーザ名 Andrew Smith を OpenVMS ユーザ名 ASMITH にマッピングするようなエントリを追加します。 以下に例を示します。

   $ EDIT samba$root:[lib]username.map

   asmith=Andrew Smith

Windows ユーザが Andrew Smith のユーザ名でセッションを確立すると，そのユーザは OpenVMS ASMITH アカウントにマッピングされます。

	注記: 手順 3 では，SMB.CONF ファイルの [global] セクションに 次のような行が存在していることを想定しています。 username map = samba$root:[lib]username.map SAMBA$CONFIG.COM ユーティリティで HP CIFS Server を構成すると，テンプレートファイル samba$root:[lib]username.map が作成され，username map パラメータが SMB.CONF ファイルに追加されます。 ユーザ名マップファイルとして使用するために別のファイルを作成する場合， そのファイルは Stream レコード・フォーマットで作成する必要があります。 また，SMB.CONF ファイルの username map パラメータの値を，作成したファイルのパスと名前に変更してください。

HP CIFS は，複数のドメイン・ユーザから単一の OpenVMS ユーザ名への マッピングをサポートしています。 この場合，単一の OpenVMS ユーザにマッピングした各ドメイン・ユーザは同じユーザ属性を共有するため，同じセキュリティ属性を共有することになります。 複数の CIFS ドメイン・ユーザを単一の OpenVMS ユーザ名にマッピングするこの方法は，ファイル・セキュリティによる影響を理解した上で使用してください。 CIFS Server のアカウント・データベースに存在するユーザ・アカウントに関しては， 複数の CIFS Server ユーザを単一の OpenVMS ユーザ・アカウントにマッピングすることはできません。

CIFS ドメイン・ユーザを明示的にマッピングする際， マップファイルは 1 行ずつ解析されます。 明示的なユーザ・マッピングを行う際には，以下のような点に注意してください。

• 各行には，等号(=)をはさんで左側に 1 つの OpenVMS アカウント，右側に CIFS ドメイン・ユーザ名のリストが含まれていなければなりません。

• 等号(=)の前後にスペースは入れません。 たとえば， ASMITH = Andrew Smith のように記述することはできません。　

• 番号記号(#)あるいはセミコロン(;)で始まる行はコメント行として扱われ，無視されます。 たとえば，次の 2 行はコメント行として扱われます。

  #this file contains explicit user mapping entries for use by CIFS #Server

• CIFS Server がメンバーサーバーとなっているドメイン(仮にWINDOM)，あるいはそのWINDOMが信頼するいずれかのドメインにユーザ・アカウントが存在する場合，マッピングの際には，ユーザ・アカウントの先頭にはドメイン名とスラッシュ\を含める必要があります。 CIFS Server が PDC あるいは BDC の場合，信頼されるドメインのユーザ・アカウントに対しても同様の構文を使用する必要があります。 たとえば，ドメイン WINDOM のユーザGangaR をOpenVMS アカウント GANGA にマッピングする場合，次のように記述します。

  ganga=windom\GangaR

• HP CIFS Server に接続するすべてのドメイン・ユーザを 1 つの OpenVMS ユーザ・アカウントにマッピングすることができます。 この設定により，1 つの OpenVMS ユーザ・アカウントにマッピングされるすべてのユーザが同じユーザ属性，つまり同じセキュリティ属性を共有することに注意してください。 次の例では，すべての Windows ユーザが OpenVMS ユーザ・アカウント CIFS$DEFAULT にマッピングされます。

  cifs$default=*

• 行が '!' で始まる場合，その行によるマッピングが行われると， その行の後で処理が停止します。 行の先頭が '!' でない場合は，各行が処理されてマッピングが続行されます。 '!' の使用が便利なケースとしては， ファイルの後ろの方にワイルドカード・マッピングがあるような場合があります。 たとえば，マッピング・ファイルに下記のようなマッピング・エントリがある場合， !ganga=windom\gangar の行の後ろでマッピング処理が停止します。 この場合，Windows ユーザ GangaR は， CIFS$DEFAULT の代わりに OpenVMS ユーザ・アカウント GANGA にマッピングされます。

  !ganga=windom\gangar cifs$default=*

• 複数のドメイン・ユーザ・アカウントを 1 つの OpenVMS ユーザ・アカウントにマッピングする場合， 次のようにドメイン・ユーザ・アカウントをスペースあるいはコンマで区切ります。

  tunga=windom\kaveri,windom\neela

• ユーザ名自体にスペースが含まれる場合は， マッピング時にはユーザ名を引用符で囲む必要があります。

  たとえば， ユーザ Andrew Smith を OpenVMS アカウントにマッピングする場合の例を次に示します。

  asmith="Andrew Smith"

6.3.4 ユーザ認証とホスト・マッピングの処理の流れ

図 6-1 「ユーザ認証とホストのマッピング処理の流れ」 に示すのは， メンバーサーバー環境におけるユーザ認証とホスト・マッピングの処理の流れです。

図 6-1 ユーザ認証とホストのマッピング処理の流れ

図 6-1の ユーザ認証とホスト・マッピングの処理について，以下に説明します。

1. ドメイン・ユーザがドメイン・コントローラから正しく認証されます。 あるいはユーザにもとづいて ACL が追加されています。

2. HP CIFS Server は，そのドメイン・ユーザに対するマッピングが ユーザ名マッピング・ファイルに存在するかどうか確認します。 対応するマッピングが存在する場合，CIFS はマップされているユーザを使用します。

3. マッピングが存在しない場合，HP CIFS は， そのドメイン・ユーザと一致する 対応するホスト・ユーザがないか確認します。 一致するものがある場合，CIFS はそのホスト・ユーザを使用します。

4. 対応するホスト・ユーザが存在しない場合， 利用可能であれば winbind から， ドメイン・ユーザ SID に対する UID を取得します。

5. 取得した UID で，HP CIFS は CIFS$<hexadecimal-value-of-UID> の形式でホスト・ユーザを確認します。 ホスト・システム・データベースにユーザがすでに存在する場合は， HP CIFS はそのユーザにマッピングします。

6. ホスト・アカウントが存在しない場合， HP CIFS は，UIC 値 [%oUID,%oUID] を使用して CIFS$<%XUID> という名前で作成し， ドメイン・ユーザにマッピングします。

	注記: WINBIND から取得した UID を OpenVMS ユーザ名の自動作成とマッピングにどのように使用するのかについては， 第7章 「WINBIND のサポート」 を参照してください。

6.3.5 グループのマッピング

グループのマッピングでは，CIFS ドメイン・グループを OpenVMS リソース識別子に割り当てます。 HP CIFS Server が CIFS ドメイン・グループを OpenVMS リソース識別子に割り当てる方法には 2 種類の方法があります。

1. WINBIND によるグループの自動マッピング

   この方法は， HP CIFS Server がメンバーサーバーである場合， ローカル・ドメインのドメイン・グローバル・グループに対して使用します。 また，HP CIFS Server ドメインの役割に関係なく， 信頼されたドメインにおけるドメイン・グローバル・グループに対しても使用できます。 グループ・アカウントの自動マッピングについての詳細は， 第7章 「WINBIND のサポート」 を参照してください。

2. 明示的なグループ・マッピング

   この方法は，HP CIFS Server のどの役割のサーバーにおいても， HP CIFS Server データベースにおけるグループ・アカウントの 作成およびマッピングに使用できます。

6.3.5.1 明示的なグループ・マッピング

HP CIFS Server を PDC あるいは BDC として構成する場合， 2 種類のタイプのグループ，すなわちローカル・グループおよびグローバル・グループを作成することができます。 グローバル・グループはドメイン・グループとも呼ばれます。 HP CIFS Server がメンバーサーバーあるいはスタンドアロン・サーバーの場合， ローカル・グループのみが作成できます。 どちらの場合も， HP CIFS Server 管理ユーティリティ SAMBA$ROOT:[BIN]SAMBA$MANAGE_CIFS.COM あるいは NET GROUPMAP ADD コマンドを実行することにより， グループ・アカウントを HP CIFS Server データベースに作成でき， 同時に OpenVMS リソース識別子に割り当てることができます。 グループ・アカウントの作成およびマッピングの際， OpenVMS リソース識別子が存在しない場合は， HP CIFS Server 管理ユーティリティで追加作成することもできます。

HP CIFS Server データベースでの グループ・アカウントの作成および管理についての詳細は， 第8章 「ユーザ，グループ，アカウント・ポリシー，信頼関係の管理」を参照してください。

デフォルトでは，明示的なグループ・マッピングは SAMBA$ROOT:[VAR.LOCKS]GROUP_MAPPING.TDB ファイルに保管されます。

6.3.5.2 グループ・マッピング処理の流れ

図 6-2 に示すのは， メンバーサーバー環境におけるグループ・マッピング処理の流れです。

図 6-2 グループ・マッピング処理の流れ

図 6-2 のグループ・マッピング処理の流れについて以下に説明します。

1. 認証されたドメイン・ユーザはグループに属します。 あるいは有効な ACL がグループに追加されています。

2. HP CIFS は，winbind から ドメイン・グループの GID を取得します。

3. HP CIFS は，CIFS$GRP<%XGID> の形式のリソース識別子を確認します。 一致するものがある場合， HP CIFS はドメイン・グループを一致しているリソース識別子に割り当てます。

4. 対応するリソース識別子が存在しない場合， HP CIFS は CIFS$GRP<%XGID> の形式で リソース識別子を作成します。

	注記: WINBIND から取得した GID を OpenVMS リソース識別子の自動作成あるいはマッピングに使用する方法については， 第7章 「WINBIND のサポート」 を参照してください。

6.4 グループ・マッピングの別の方法

上記で説明したグループ・マッピング方法の代わりに， 管理者は，単に，メンバーとなる CIFS ドメイン・ユーザの マッピングされた OpenVMS アカウントのリソース識別子を集めることで， セキュリティ・グループを設定することもできます。 これらのリソース識別子は，リソースへのアクセスを制御するために ACL で使用されます。 ただしこの方法では，リモートからサーバーを管理する場合は， そのサーバーをグループに追加することはできません (Windows クライアントから権限を設定している場合それらを参照できません)。 管理目的でクライアント・システムからグループにアクセスできるようにするには， 前述のいずれかのグループ・マッピング方法でマッピングする必要があります。

6.5 ユーザ属性(ペルソナ)の作成

HP CIFS Server は， クライアントが HP CIFS Server への新しいセッションを正常に確立したときに， CIFS ドメイン・ユーザおよびグループから OpenVMS UIC およびリソース識別子へのマッピング情報を取得します。 マッピングが無く，WINBIND の自動マッピングが有効な場合， 必要な OpenVMS ユーザとリソース識別子が作成および割り当てられます。

WINBIND で自動マッピング可能な CIFS ユーザおよびグループについては， 第7章 「WINBIND のサポート」 を参照してください。

ユーザが認証されると，HP CIFS Server はそのユーザの OpenVMS ペルソナを作成します(そのユーザのセキュリティ・プロフィールを定義します)。 そのユーザに代わって，SMBD プロセスがこのペルソナを使用して ファイル，ディレクトリ，プリント・キューなどの オブジェクトにアクセスします。

ユーザ属性は，以下の属性を継承します。

ユーザがオブジェクトにアクセスする際， OpenVMS は，マッピングされた OpenVMS ユーザのペルソナをもとに オブジェクトへのアクセス権を与えます。 唯一の例外は， HP CIFS Server 構成ファイルの admin users パラメータのリストに そのユーザが含まれている場合です。 admin users リストに含まれているユーザのペルソナは， UIC，識別子， SAMBA$SMBD アカウントのデフォルトの特権を 継承します。 SAMBA$SMBD アカウントの デフォルトの特権にはすべての特権が含まれています。

	注記: HP CIFS Server は，ユーザの認証の際に OpenVMS アカウントのパスワードは使用しません。 SAMBA$SMBD アカウントは， HP OpenVMS CIFS キットのインストール時に HP CIFS Server によって作成されます。