第8章ユーザ，グループ，アカウント・ポリシー，信頼関係の管理

この章では以下の内容について説明します。

8.1 概要

CIFS Server 管理ユーティリティ SAMBA$ROOT:[BIN]SAMBA$MANAGE_CIFS.COM を使用して，HP CIFS Server データベースのユーザおよびグループ，アカウント・ポリシー，信頼関係の管理を行うことができます。

8.2 ユーザの管理

HP CIFS Server データベースのユーザの管理には，HP CIFS Server 管理ユーティリティ SAMBA$ROOT:[BIN]SAMBA$MANAGE_CIFS.COM あるいは pdbedit コマンド行ユーティリティが使用できます。

8.2.1 項「CIFS Server 管理ユーティリティによるユーザの管理」では，SAMBA$ROOT:[BIN]SAMBA$MANAGE_CIFS.COM を使用して CIFS Server ユーザを追加，修正，削除する方法について説明します。
8.2.2 項「pdbedit ユーティリティによるユーザの管理」では， pdbedit ユーティリティで同様の作業を実行する方法について説明します。

8.2.1 CIFS Server 管理ユーティリティによるユーザの管理

SAMBA$ROOT:[BIN]SAMBA$MANAGE_CIFS.COM ユーティリティは， HP CIFS Server アカウント・データベースからの情報をもとにユーザの一覧表示，追加，修正，あるいは削除をメニュー・オプションを選択して実行することができます。

CIFS Server 管理ユーティリティの起動方法は以下のとおりです。

$ @SAMBA$ROOT:[BIN]SAMBA$MANAGE_CIFS.COM

あるいは，次のコマンドを実行します。

$ @SAMBA$ROOT:[BIN]SAMBA$DEFINE_COMMANDS
$ SMBMANAGE

HP OpenVMS CIFS Server Management のメイン・メニューが表示されたらオプション 3 の Manage Users を選択して，以下のユーザ管理メニューを表示させます。

HP CIFS Server User Management Menu

                 1  - List users
                 2  - List a user
                 3  - Add user
                 4  - Modify user
                 5  - Remove user
                [E] - Exit
Enter CIFS user management option:

8.2.1.1 ユーザの一覧表示

オプション 1 の List users を使用すると，以下の例のように CIFS Server アカウント・データベースに存在するすべてのユーザとマシン・アカウントを一覧表示できます。

Enumerating users in the domain PIANODOM.
  Please wait...

User name             Comment
---------------------------------------
sso                  Generic account for SSO team
ganga
cifsadmin
tunga                Account for user Tunga

Press Enter to continue:

8.2.1.2 ユーザに関する詳細情報の表示

オプション 2 の List a user を使用すると， HP CIFS Server アカウント・データベースに存在するユーザあるいはマシン・アカウントの詳細情報を表示できます。アカウント名を入力するためのプロンプトが表示され，以下のように出力が表示されます。

 
 This option displays full information for the specified user.

Enter the username: tunga

OpenVMS username:     tunga
NT username:
Account Flags:        	[U          ]
User SID:             	S-1-5-21-4210255526-1716153954-2929367854-1005
Primary Group SID:    	S-1-5-21-4210255526-1716153954-2929367854-513
Full Name:
Home Directory:       	\\piano\tunga
HomeDir Drive:
Logon Script:
Profile Path:         	
Domain:               	PIANODOM
Account desc:         	Account for user Tunga
Workstations:
Munged dial:
Logon time:           	0
Logoff time:          	never
Kickoff time:         	never
Password last set:    	Mon, 03 May 2010 13:18:48 PDT
Password can change:  	Mon, 03 May 2010 13:18:48 PDT
Password must change: never
Last bad password   : 	0
Bad password count  : 	0
Logon hours         : 	FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF

Press Enter to continue:

8.2.1.3 ユーザの追加

オプション 3 の Add user を使用すると， CIFS Server アカウント・データベースにユーザあるいはマシン・アカウントを追加することができます。

CIFS Server が PDC あるいは BDC の場合，以下のようなメニューが表示されます。

HP CIFS Server User Account Creation Menu

                1. User name (*):
                2. Full name:
                3. Description:
                4. Home drive:
                5. Logon script:
                6. Profile path:

                * = required field

Enter item number or press Enter to accept current values [Done]:

CIFS Server がメンバーサーバーあるいはスタンドアロン・サーバーの場合，以下のようなメニューが表示されます。

        
HP CIFS Server User Account Creation Menu

                1. User name (*):
                2. Full name:
                3. Description:

                * = required field

Enter item number or press Enter to accept current values [Done]:

選択したオプションに対して値を入力すると，ユーティリティは次のようにアカウントを修正するためのメニューを表示します。

HP CIFS Server User Account Flags Menu

                1. Disable Account: no
                2. Password not required: no
                3. Password does not expire: yes
                4. Automatic locking: no
                5. Account Type: user
Enter item number or press Enter to accept current values [Done]:

これらの各オプションについて，以下の項で詳しく説明します。




	注記: オプション 5. Account Type: user は， CIFS Server が PDC あるいは BDC の場合のみ表示されます。

8.2.1.3.1 ユーザ名

User name オプションでは，追加するアカウント名を指定します。このフィールドは必須フィールドです。指定するユーザ名は，管理対象のドメインあるいはサーバーに同じユーザ名あるいはグループ名が存在しないことが必要です。 CIFS Server は，CIFS Server データベースで作成されるユーザ・アカウントごとに対応する OpenVMS ユーザ名を必要とします。ユーザ名を指定する際は，以下のガイドラインを満たすようにしてください。

使用可能な文字は，英数字，ドル記号($)，アンダースコア(_)のみです。
数字で開始することはできません。
文字数は 12 文字を超えることはできません。

ユーザ・アカウントを作成する際，指定したユーザ名が SYSUAF データベースに存在しない場合，管理ユーティリティは SYSUAF にそのユーザ名を作成するかどうかのオプションを提示します。オプションに従ってユーザ名を作成する場合は，その OpenVMS グループの UIC を生成するためにグループ ID 番号を指定する必要があります。

8.2.1.3.2 フルネーム

Full name オプションでは，そのユーザの完全な名前を指定します。フルネームの指定は任意です。文字数は 256 を超えることはできません。入力する際，フルネームを引用符で囲む必要はありません。

8.2.1.3.3 説明

Description オプションでは，そのユーザ・アカウントに関する説明を記述した文字列を指定します。このオプションの指定は任意です。

8.2.1.3.4 ホーム・ドライブ

Home drive オプションでは，そのユーザのホーム・ディレクトリが共有ネットワーク・ディレクトリの場合に，ホーム・ディレクトリへの接続に使用するドライブ文字を指定します。ホーム・ドライブの指定は任意です。ドライブ文字として，D ~ Z の文字が使用可能です。ユーザ・アカウントに対して指定したホーム・ドライブが Samba 構成ファイルのグローバル・セクションに存在する場合，ユーザ・アカウントに対して指定されたホーム・ドライブの方が， SMB.CONF パラメータ logon drive よりも優先されます。

8.2.1.3.5 ログオン・スクリプト

Logon script オプションでは，ユーザ・ログオン時に実行するログオン・スクリプトの名前を指定します。ログオン・スクリプトの指定は任意です。ログオン・スクリプトは，バッチ・ファイル (拡張子.BAT あるいは .CMD) でも，実行プログラム (ファイル拡張子 .EXE) でもかまいません。 1 つのログオン・スクリプトを複数のユーザ・アカウントで使用することも可能です。ユーザがログインする際，ログイン要求を認証するサーバーは，ユーザが指定したサーバー・ログオン・スクリプトのパスに従ってスクリプトを探します。

このスクリプトは [netlogon] 共有に対する相対パスでなければなりません。 [netlogon] 共有が /SAMBA$ROOT/NETLOGON/ としてパス指定され，ログオン・スクリプトが SCRIPTS/STARTUP.BAT として指定されている場合，ダウンロードされるファイルは次のようになります。

SAMBA$ROOT/NETLOGON/SCRIPTS/STARTUP.BAT

ユーザ・アカウントに対して指定されたログオン・スクリプトは， Samba 構成ユーティリティのグローバル・セクションに存在する SMB.CONF パラメータ logon script よりも優先されます。

8.2.1.3.6 プロファイル・パス

Profile path オプションには，ユーザのローミング・プロファイル (Desktop，NTuser.dat など) が保管されるディレクトリを指定します。プロファイル・パスの指定は任意です。指定したディレクトリには Application Data，desktop，start menu，network neighborhood，programs フォルダあるいはその他のフォルダとそれらの内容が保管され，Windows クライアントに表示されます。 \\%L\profiles\%U のようにプロファイル共有に対する相対パスでプロファイルを指定することができます。この場合，%L は CIFS Server NetBIOS 名で置き換え， %U はセッション・ユーザ名で置き換えます。

ユーザ・アカウントに対して指定したプロファイル・パスは， Samba 構成ファイルのグローバル・セクションに存在する SMB.CONF パラメータ logon path より優先します。ユーザのプロファイル・パスと SMB.CONF パラメータ logon path がともに空文字の場合，そのユーザに対するローミング・プロファイルは無効になります。

8.2.1.3.7 アカウント・フラグ・メニュー

User Account Flags メニューでは，アカウントを無効にしたり，規定の回数を超える不正なパスワード入力が発生した時に自動ロックを有効にしたり，パスワードが必要ないことを指示したり，あるいは，アカウントの期限切れフラグを設定あるいはクリアするためのオプションを提供します。また，CIFS Server が PDC あるいは BDC の場合，アカウント・タイプが設定されます。

8.2.1.3.8 アカウントを無効にする

Disable account フラグを yes に設定することにより，ユーザ・アカウントを無効にすることができます。

8.2.1.3.9 パスワード無しに設定

Password not required フラグを yes に設定することにより，ユーザは指定されたユーザ・アカウントにパスワード無しでログインできます。

8.2.1.3.10 パスワードの期限切れを設定しない

デフォルトでは，ユーザ・アカウントは Password does not expire フラグを設定せずに作成されます。このため，アカウントのパスワードはパスワード期限アカウント・ポリシーに依存します。 Password does not expire フラグが yes に設定されていると，パスワード期限アカウント・ポリシーの設定に関係なく，指定されたユーザ・アカウントのパスワードは期限切れになりません。

8.2.1.3.11 自動ロックの設定

Automatic locking オプションは，サーバー・アカウント・ポリシーによって制御される自動ロック機能をそのアカウントに適用するかどうかを指定するのに使用します。この機能が有効な場合，bad password count アカウント・ポリシーの規定回数を超えて不正なパスワードを入力すると，アカウントが自動的にロックされます。

8.2.1.3.12 アカウント・タイプの指定

Account Type オプションでは，アカウントが通常のユーザ・アカウントであるか，ワークステーション信頼アカウントであるか，サーバー信頼アカウントであるか，あるいはドメイン信頼アカウントであるかを指定します。 CIFS Server 管理ユーティリティは，2 種類のアカウント・タイプの作成のみが可能です。

Normal user account (デフォルト)
標準のユーザ・アカウント
Workstation trust account
HP CIFS サーバーが PDC あるいは BDC の場合のみ有効。ワークステーション (クライアント) システムに対してドメインに参加可能なマシン・アカウントを作成します。

ユーザ・アカウントの作成には U を指定し，ワークステーション信頼アカウントの作成には W を指定します。

8.2.1.4 ユーザの変更

CIFS Server アカウント・データベースのユーザあるいはマシン・アカウントを変更するには，オプション 4 のModify user を使用します。このオプションを選択すると，変更するアカウント名の入力を促すプロンプトが表示されます。

CIFS Server が PDC あるいは BDC の場合，以下のようなメニューが表示されます。

        HP CIFS Server User Account Modification Menu


                1. User name (*): cifsadmin
                2. Full name: CIFS Administrator
                3. Description: CIFS Server administrator account
                4. Home drive: H:
                5. Logon script:
                6. Profile path: 
                7. Reset logon hours: no
                8. Reset bad password count: no

                * = required field

Enter item number or press Enter to accept current values [Done]:

CIFS Server がメンバーサーバーあるいはスタンドアロン・サーバーの場合は，次のようなメニューが表示されます。

	HP CIFS Server User Account Modification Menu


                1. User name (*): cifsadmin
                2. Full name: CIFS Administrator
                3. Description: CIFS Server administrator account
                4. Reset logon hours: no
                5. Reset bad password count: no

                * = required field

Enter item number or press Enter to accept current values [Done]:

HP CIFS Server User Account Modification Menu には Reset logon hours および Reset bad password count の 2 つのオプションが追加されていますが，それ以外は HP CIFS Server User Account Creation Menu と同じです。 User name を除き， HP CIFS Server User Account Modification Menu のどのオプションも変更できます。

選択したオプションの値を変更すると，ユーティリティはアカウント・フラグを変更するためのメニューを表示します。このメニューは，ユーザ・アカウントの作成時に表示される HP CIFS Server User Account Flags Menu に似ています。 CIFS Server が PDC あるいは BDC の場合，Account type を除くどのフラグも変更できます。

この項では，Reset logon hours および Reset bad password count について説明します。 HP CIFS Server User Account Modification Menu および HP CIFS Server User Account Flags Menu の残りのオプションについては， 8.2.1.3 項「ユーザの追加」を参照してください。

8.2.1.4.1 ログオン時間のリセット

必要に応じて Reset logon hours オプションを使用することにより，ユーザのログオン時間をリセットできます。

8.2.1.4.2 不正パスワード回数のリセット

必要に応じて Reset bad password count オプションを使用することにより，bad password count の値を 0 回にリセットできます。

8.2.1.5 ユーザの削除

CIFS Server アカウント・データベースからのユーザあるいはマシン・アカウントの削除には，オプション 5 の Remove user を使用します。次のように削除するアカウント名の入力を促すプロンプトが表示されます。

Enter the username to remove: tunga

Username tunga deleted.

8.2.2 pdbedit ユーティリティによるユーザの管理

この項では，pdbedit ユーティリティを使用して CIFS Server アカウント・データベースのユーザ・アカウントを管理する方法について説明します。

8.2.2.1 ユーザ・アカウントの追加

CIFS Server データベースにユーザ・アカウントを追加する手順は以下のとおりです。

CIFS Server データベースにユーザ・アカウントを追加するには，ユニークな UIC が割り当てられた同じ名前の OpenVMS ユーザ・アカウントが必要です。アカウントがユニークな UIC 識別子を持っているかどうかを確認する手順は，以下のとおりです。
1. 次のコマンドで，SYSUAF データベースにユーザ・アカウントが存在するかどうかを確認します。
  MC AUTHORIZE SHOW ユーザ名
  たとえば次のように実行します。
  $ MC AUTHORIZE SHOW GANGA
  アカウントが存在する場合，次のコマンドでユニークな UIC 識別子が割り当てられているかどうか確認します。
  MCR AUTHORIZE SHOW /IDENTIFIER ユーザ名
  次に例を示します。
  $ MCR AUTHORIZE SHOW /IDENTIFIER GANGA
  アカウントが存在しない場合は，OpenVMS アカウントを作成してユニークな UIC を割り当てます。次に例を示します。
  $ MCR AUTHORIZE COPY SAMBA$TMPLT GANGA/UIC=[500,1]
  アカウントは存在するがユニークな UIC 識別子が割り当てられていない(すなわち UIC を他のアカウントと共有している)場合，そのアカウントでは CIFS サーバーにアクセスできません。
  これを修正する方法としては，以下の方法があります。
  - アカウントにユニークな UIC を割り当てた後，そのアカウントに対する UIC 識別子を作成します。以下に例を示します。
    $ MCR AUTHORIZE MODIFY GANGA/UIC=[500,1]/NOMODIFY_IDENTIFIER $ MCR AUTHORIZE ADD/IDENTIFIER/USER=GANGA
  - 他のアカウントにユニークな UIC を割り当てた後，UIC 識別子を持っていないアカウントに対し，UIC 識別子を作成します。
  - 複数のアカウントで UIS は共用し続けますが，UIC に関連付けられた既存の UIC 識別子は削除し，その UIC に対して新しい識別子を作成します。なお，新しい識別子の名前は，CIFS Server へのアクセスが必要なユーザのアカウント名と一致していなければなりません。
2. SYSUAF データベースの既存のユーザ・アカウントが適切でない場合は，SYSUAF データベースに新たにユーザ・アカウントを追加します。SYSUAF データベースにユーザ・アカウントを追加する場合は，ユニークな UIC (/uic=[<uic value>] と /ADD_IDENTIFIER および /flags= NODISUSER 修飾子を指定するか，次のようにデフォルトのユーザ・アカウント・テンプレート SAMBA$TMPLT を使用します。
  $ MC AUTHORIZE COPY SAMBA$TMPLT GANGA /UIC=[500,500]
次のコマンドで HP CIFS Server アカウント・データベースにユーザ・アカウントを追加します。
pdbedit -a ユーザ名
以下に例を示します。
$ pdbedit -a GANGA new password: retype new password:

8.2.2.2 ユーザ・アカウントの変更

CIFS Server データベースのユーザ・アカウントは次のコマンドで変更します。

pdbedit -r ユーザ名 オプション
以下に例を示します。
- ユーザのアカウントの説明を変更するには，次のようなコマンドを実行します。
  $ pdbedit -r ganga --account-desc=User account for Ganga Roy
- ユーザのフルネームを変更するには，次のようなコマンドを実行します。
  $ pdbedit -r ganga --fullname=Ganga Roy
- ユーザ・アカウントに対する不正パスワード回数をリセットするには，次のようなコマンドを実行します。
  $ pdbedit -r ganga --bad-password-count-reset
- ユーザ・アカウントのログイン時間をリセットするには，次のようなコマンドを実行します。
  $ pdbedit -r ganga --logon-hours-reset
- いずれかのアカウント制御フラグを変更するには，次のようなコマンドを実行します。
  pdbedit -r ganga --account-control=[<flags>]
  <flags> には以下の値のいずれか，あるいは複数の値を指定します。
  N: パスワード不要
  D: アカウント無効
  L: 自動ロッキング
  X: パスワードは期限切れにならない
  
  たとえば，GANGA アカウントで automatic locking フラグを設定し，その他の修正可能なフラグをクリアする場合は，次のようなコマンドを実行します。
  $ pdbedit -r ganga --account-control="[L]"




	注記: ここでは，すでに前の項で説明済みのオプションについては説明していません。それらのオプションについては，8.2.1.3 項「ユーザの追加」を参照してください。 1 つのコマンド行で複数のオプションを指定することも可能です。

8.2.2.3 ユーザ・アカウントの削除

CIFS Server データベースのアカウントの削除には次のコマンドを使用します。

pdbedit -x ユーザ名

たとえば，ユーザ・アカウント GANGA を削除する場合は，次のコマンドを実行します。

$ pdbedit -x ganga

8.2.2.4 ユーザの一覧表示

CIFS Server アカウント・データベースにあるすべてのユーザを一覧表示するには，次のコマンドを実行します。

pdbedit --list

あるいは

net sam list users

8.2.2.5 アカウントの詳細情報の表示

アカウントの詳細情報を表示するには，次のコマンドを実行します。

pdbedit --list --verbose ユーザ名

たとえば，ユーザ・アカウント GANGA についての詳細を表示するには，次のコマンドを実行します。

$ pdbedit --list --verbose ganga

8.2.3 ユーザ・アカウント・パスワードの変更

OpenVMS では，管理者だけが HP CIFS Server ユーザのパスワードを変更できます。パスワードの変更には smbpasswd ユーティリティを使用します。

$ SMBPASSWD USER1
New SMB password: 
Retype new SMB password:

別の方法として，HP CIFS ユーザのパスワードは Windows クライアントで Ctrl+Alt+Delete キーを押した後に表示されるダイアログ・ボックスで Change Password をクリックする方法でも変更可能です。

8.3 グループの管理

HP CIFS Server データベースのグループは，HP CIFS Server 管理ユーティリティ SAMBA$ROOT:[BIN]SAMBA$MANAGE_CIFS.COM あるいは NET コマンド行ユーティリティを使用して管理できます。

8.3.1 項「CIFS Server 管理ユーティリティによるグループの管理」で，SAMBA$ROOT:[BIN]SAMBA$MANAGE_CIFS.COM を使用して CIFS Server グループを追加，修正，削除する方法について説明します。
8.3.2 項「NET コマンドによるグループの管理」で， NET コマンドを使用して同様の処理を行う方法について説明します。

8.3.1 CIFS Server 管理ユーティリティによるグループの管理

SAMBA$ROOT:[BIN]SAMBA$MANAGE_CIFS.COM ユーティリティは，CIFS Server アカウント・データベースに登録されているグループの一覧表示，追加，修正，削除に使用できます。

CIFS Server 管理ユーティリティを起動するには，次のコマンドを実行します。

$ @SAMBA$ROOT:[BIN]SAMBA$MANAGE_CIFS.COM

あるいは，次のコマンドを実行します。

$ @SAMBA$ROOT:[BIN]SAMBA$DEFINE_COMMANDS
$ SMBMANAGE

これにより，HP OpenVMS CIFS Server Management メイン・メニュ－が表示されます。オプション 2 の Manage groups を選択すると，次のようなグループ管理メニューが表示されます。

        HP CIFS Server Group Management Menu

        Group Management Options:

                 1  - List groups
                 2  - Add group
                 3  - Remove group
                 4  - List group members
                 5  - Add group members
                 6  - Remove group members
                [E] - Exit
Enter group management option:

8.3.1.1 グループの一覧表示

オプション 1 の List groups を選択すると， CIFS Server アカウント・データベースに存在するすべてのグループ・アカウントが表示されます。表示例を以下に示します。

Enumerating groups in the domain PIANODOM.
  Please wait...

Domain Admins
Domain Users
Domain Guests
Print Operators
Backup Operators
Replicator
RAS Servers
Pre-Windows 2000 Compatible Access
Administrators
Users
Guests
Power Users
Account Operators
Server Operators

Press Enter to continue

8.3.1.2 グループの追加

オプション 2 の Add group を選択すると，CIFS Server アカウント・データベースにグループ・アカウントを追加できます。出力例を以下に示します。

        HP CIFS Server Group Account Creation Menu

                1. CIFS Server group name (*):
                2. OpenVMS resource identifier name (*):
                3. Group account description:
                4. Group Type (*): domain

                * = required field

        Enter item number or press Enter to accept current values [Done]:




	注記: CIFS Server がメンバーサーバーあるいはスタンドアロン・サーバーの場合， 4. Group Type (*): domain は表示されません。

8.3.1.2.1 CIFS Server グループ名

CIFS Server group name オプションでは，追加するグループのグループ名として，Windows のアカウント名として有効な 1 ～ 256 文字の名前を指定します。指定するグループ名は，管理対象のドメインあるいはサーバー内の他のグループ名あるいはユーザ名と同じではいけません。このグループ名の指定は必須です。

8.3.1.2.2 OpenVMS リソース識別子名

HP CIFS Server アカウント・データベースにグループ名を作成するには，まず，OpenVMS リソース識別子にマッピングする必要があります。指定する OpenVMS リソース識別子は，既存のものあるいは存在しないもの，どちらでもかまいません。指定する OpenVMS リソース識別子名は CIFS Server グループ名と同じにできますが，それは必須ではありません。

グループ・アカウントの作成の際，存在しない OpenVMS リソース識別子名が指定されていることをユーティリティが検知すると，その指定されたリソース識別子を OpenVMS RIGHTSLIST データベースに作成します。リソース識別子の指定は必須です。

8.3.1.2.3 グループ・アカウントの説明

グループ・アカウントの説明は，グループについての情報を記述するためのオプションのフィールドです。

8.3.1.2.4 グループ・アカウント・タイプ

グループ・アカウント・タイプは CIFS Server が PDC あるいは BDC の場合のみ適用されます。メンバーサーバーあるいはスタンドアロン・サーバーとして構成された CIFS Server では，すべてのグループ・アカウントは LOCAL タイプでなければなりません。 CIFS Server がメンバーサーバーあるいはスタンドアロン・サーバーの場合，ユーティリティは LOCAL タイプのグループ・アカウントを作成します。

CIFS Server が PDC あるいは BDC の場合，次の 2 種類のタイプのグループ・アカウントを CIFS Server データベースに作成することができます。

LOCAL
ローカル・グループは，セキュリティ・システムにローカルに作成されたグループです。ドメイン・コントローラに作成されたローカル・グループは，同じドメイン内のすべてのドメイン・コントローラで利用可能です。ローカル・グループには CIFS サーバーで作成されたユーザおよびグローバル・グループを含めることができます。ローカル・グループには，信頼関係で受け渡すことにより，別のドメインのユーザおよびグローバル・グループも含めることができます。ローカル・グループは信頼関係を横断することはできません。
DOMAIN
ドメインあるいはグローバル・グループには，1 つのグループ名でグループ化された CIFS Server ドメイン・グループのユーザ・アカウントを含めることができます。グローバル・グループには，他のグローバル・グループあるいはローカル・グループをメンバーとして含めることはできません。グローバル・グループは，同じドメインあるいはそのドメインによって信頼されるドメインのどちらのローカル・グループのメンバーにも設定可能です。

8.3.1.3 グループ・アカウントの削除

CIFS Server アカウント・データベースからグループ・アカウントを削除するにはオプション 3 の Remove group を選択します。削除するグループ・アカウント名を入力するためのプロンプトが表示され，以下のような出力が表示されます。

Enter the group name to delete: testgroup
  Deleting group testgroup. Please wait...
Sucessfully removed testgroup from the mapping db

8.3.1.4 グループ・メンバーの一覧表示

CIFS Server データベースに存在するグループ・アカウントのメンバーを一覧表示するには，オプション 4 の List group members を使用します。以下のように，メンバーを一覧表示させるグループの名前を入力するためのプロンプトが表示されます。

Enter group name to list members: administrators

BUILTIN\administrators has 1 members
 PIANODOM\Domain Admins

Press Enter to continue:

8.3.1.5 グループ・メンバーの追加

オプション 5 の Add group members を使用して，グループのメンバー・リストにメンバーを追加することができます。メンバーを追加するグループの名前を入力するためのプロンプトが表示されます。

CIFS Server がメンバーサーバーの場合は，以下のユーザおよびグループ・アカウントをメンバーとして追加できます。

CIFS Server データベースに存在するユーザ・アカウントおよびグループ・アカウント
CIFS Server がメンバーとなっているドメインに存在するユーザ・アカウントおよびドメイン・グローバル・グループ・アカウント
CIFS Server がメンバーとなっているドメインによって信頼されたドメインに存在するユーザ・アカウントおよびドメイン・グローバル・グループ・アカウント

CIFS Server が PDC あるいは BDC の場合は，メンバーとして以下のユーザ・アカウントおよびグループ・アカウントを DOMAIN (あるいは GLOBAL) グループに追加できます。

CIFS Server データベースに存在するユーザ・アカウント

CIFS Server が PDC あるいは BDC の場合は，以下のユーザ・アカウントおよびグループ・アカウントを LOCAL グループに追加できます。

CIFS Server データベースに存在するユーザ・アカウントおよびグループ・アカウント
CIFS ドメインによって信頼されているドメインに存在するユーザ・アカウントおよびドメイン・グローバル・グループ・アカウント

CIFS Server がスタンドアロン・サーバーの場合は，以下のユーザ・アカウントおよびグループ・アカウントをメンバーとして追加できます。

CIFS Server データベースに存在するユーザ・アカウントおよびグループ・アカウント

グループ・メンバー・アカウント名の指定には，以下の構文を使用します。

<domain-name>\<group-member-name>

追加するユーザ・アカウントあるいはグループ・アカウントが CIFS Server データベースに存在する場合は，ドメイン名の指定は省略できます。
<group-member-name> は，メンバーとしてグループに追加するユーザあるいはグループの名前と置き換えてください。
追加するユーザあるいはグループ・アカウントが信頼されたドメインに存在する場合， <domain-name> は，信頼されているドメイン名と置き換えてください。
HP CIFS Server がメンバーサーバーで，追加するユーザあるいはグループ・アカウントがその HP CIFS Server がメンバーとなっているドメイン (たとえば WINDOM) に存在する場合，<domain-name> をドメイン名 WINDOM に置き換えます。

グループに対して，メンバーとして複数のアカウントを同時に追加することができます。これを可能にするために，ユーザがグループ・メンバー名を指定せずに Enter キーを押すまで，次のグループ・メンバー名を入力するためのプロンプトが表示されます。

次のような出力が表示されます。

Enter group name: cifsteam

Enter group member name: ganga
Added PIANODOM\ganga to PIANODOM\cifsteam

Enter next group member name: tunga
Added PIANODOM\tunga to PIANODOM\cifsteam

Enter next group member name: domain admins
Added PIANODOM\domain admins to PIANODOM\cifsteam

Enter next group member name:

8.3.1.6 グループ・メンバーの削除

オプション 6 の Remove group members を使用すると，指定したメンバーをグループのメンバー・リストから削除できます。削除するべきグループ・メンバー・アカウント名を指定するためのプロンプトとは別に，そのメンバーを削除するグループ・アカウント名を入力するためのプロンプトが表示されます。

グループ・メンバー・アカウント名を指定するには，次のように入力します。

<domain-name>\<group-member-name>

削除するユーザあるいはグループ・アカウントが CIFS Server データベースに存在する場合は，<domain-name>\ の部分は省略できます。
<group-member-name> には，メンバーとしてグループから削除されるべきユーザあるいはグループ・アカウント名を指定します。
削除するユーザあるいはグループ・アカウントが信頼されたドメインに存在する場合， <domain-name> には，信頼されているドメイン名を指定します。
HP CIFS Server がメンバーサーバーで，削除するユーザあるいはグループ・アカウントがその HP CIFS Server がメンバーとなっているドメイン (たとえば WINDOW) に存在する場合，<domain-name> をドメイン名 WINDOW に置き換えます。

グループのメンバー・リストから同時に複数のアカウントを削除することができます。このため，グループ・メンバー名を指定せずにユーザが Enter キーを押すまで，次のグループ・メンバー名を入力するためのプロンプトを表示します。

次のような出力が表示されます。

Enter group name: cifsteam

Enter group member name to remove: ganga
Deleted PIANODOM\ganga from PIANODOM\cifsteam

Enter next group member name to remove: tunga
Deleted PIANODOM\tunga from PIANODOM\cifsteam

Enter next group member name to remove: domain admins
Deleted PIANODOM\domain admins from PIANODOM\cifsteam

Enter next group member name to remove:

8.3.2 NET コマンドによるグループの管理

この項では，CIFS Server グループの管理を手動で実行するための手順とコマンドについて説明します。

8.3.2.1 グループ・タイプ

NET コマンドでグループを作成する際，グループ・アカウント・タイプを指定することが重要です。メンバーサーバーあるいはスタンドアロン・サーバーとして構成された HP CIFS Server では，すべてのグループ・アカウントは LOCAL でなければなりません。

HP CIFS Server が PDC あるいは BDC の場合， CIFS Server データベースには 2 種類のタイプのグループ・アカウントを作成できます。

LOCAL
ローカル・グループはそれが作成されたセキュリティ・システムにローカルなグループです。ドメイン・コントローラに作成されたローカル・グループは，同じドメイン内のすべてのドメイン・コントローラで利用できます。ローカル・グループには，CIFS Server に作成されたユーザおよびグローバル・グループを含めることができます。また，信頼関係が結ばれている別のドメインのユーザあるいはグローバル・グループも含めることができます。ローカル・グループは信頼関係を横断することはできません。
DOMAIN
ドメインあるいはグローバル・グループには，CIFS Server ドメインからユーザ・アカウントを含めることができます。グローバル・グループには，別のグローバル・グループあるいはローカル・グループをメンバーとして含めることはできません。グローバル・グループは，同じドメインあるいは信頼されているドメインのローカル・グループのメンバーになることができます。

8.3.2.2 グループ・メンバー

グループ・アカウントを CIFS Server データベースに追加した後，それらのグループ・アカウントに複数のユーザあるいはグループ・アカウントをメンバーとして追加することができます。メンバーとして追加可能なユーザおよびグループ・カウントは，CIFS Server の役割に依存します。 CIFS Server がメンバーサーバーの場合，次のユーザおよびグループ・アカウントをメンバーとして追加できます。

CIFS Server データベースに存在するユーザおよびグループ・アカウント
CIFS Server がメンバーとなっているドメインのユーザおよびドメイン・グローバル・グループ・アカウント
CIFS Server がメンバーとなっているドメインによって信頼されているドメインのユーザおよびドメイン・グロ－バル・グループ・アカウント

CIFS Server が PDC あるいは BDC の場合，以下のユーザおよびグループ・アカウントを DOMAIN (あるいは GLOBAL) タイプのグループ・アカウントにメンバーとして追加可能です。

CIFS Server データベースに存在するユーザ・アカウント

HP CIFS Server が PDC あるいは BDC の場合，以下のユーザおよびグループ・アカウントを LOCAL タイプのグループ・アカウントにメンバーとして追加可能です。

CIFS Server データベースに存在するユーザおよびグループ・アカウント
CIFS ドメインによって信頼されているドメインのユーザおよびドメイン・グロ－バル・グループ・アカウント

HP CIFS Server がスタンドアロン・サーバーの場合，以下のユーザおよびグループ・アカウントをメンバーとして追加可能です。

CIFS Server データベースに存在するユーザおよびグループ・アカウント

8.3.2.3 HP CIFS Server グループの管理コマンド

HP CIFS Server グループの管理は以下の手順で行います。

OpenVMS システムにログインし，コマンドを定義します。
1. OpenVMS システムにログインします。たとえば，CIFS Server が構成されている OpenVMS システム (PIANO) に，十分な特権を持つ OpenVMS ユーザ・アカウント (たとえば SYSTEM) を使用してログインします。
2. CIFS Server ユーティリティのためのシンボルを定義します。
  $ @SAMBA$ROOT:[BIN]SAMBA$DEFINE_COMMANDS.COM
特権を持つ CIFS ユーザを作成します。
グループの管理には，管理者特権のあるアカウントが必要です。そのようなアカウントが無い場合は，作成する必要があります。 OpenVMS CIFS V1.2 以降，CIFS Server は，デフォルトで SYSUAF データベースに CIFSADMIN アカウントを作成します。
1. OpenVMS ユーザ名を作成します。
  たとえば，ユーザ名 CIFSADMIN で作成する場合，次のように実行します。
  $ MCR AUTHORIZE COPY SAMBA$TMPLT CIFSADMIN/UIC=[600,600]/FLAG=NODISUSER
2. 前の手順で作成した OpenVMS ユーザ名と同じ名前で，CIFS ユーザ・アカウントを作成します。
  $ PDBEDIT -a CIFSADMIN new password: any1willdo retype new password: any1willdo
3. admin users パラメータを変更します。
  ユーザに管理者特権を与える場合は，サーバー構成ファイルの [global] セクションの admin users パラメータにそのユーザを追加する必要があります。
  1. SAMBA$CONFIG.COM ユーティリティで HP CIFS Server が構成されている場合，インクルード構成ファイル SAMBA$ROOT:[LIB]ADMIN_USERS_SMB.CONF を編集して，admin users のリストにアカウント名を追加します。
  2. HP CIFS Server が SAMBA$CONFIG.COM で構成されてない場合は，メイン構成ファイル SAMBA$ROOT:[LIB]SMB.CONF を変更します。必要に応じて，[global] セクションに admin users パラメータを追加して，管理者特権を付与するアカウント名を指定します。
グループ・アカウントを追加します。
CIFS Server データベースにグループ・アカウントを追加するには，そのグループ・アカウントに割り当てる OpenVMS リソース識別子を指定する必要があります。既存の OpenVMS リソース識別子にグループ・アカウントを割り当てることも，あるいは，RIGHTSLIST データベースに新しいリソース識別子を作成してそれにグループ・アカウントを割り当てることもできます。
リソース識別子の作成
RIGHTSLIST データベースにリソース識別子を作成するには，次のコマンドを実行します。
MCR AUTHORIZE ADD/IDENTIFIER/ATTRIBUTE=RESOURCE <OpenVMS-resource-id-name>
たとえば次のように実行します。
$ MCR AUTHORIZE ADD/IDENTIFIER/ATTRIBUTE=RESOURCE CIFSUSERS
グループ・アカウントの作成
CIFS Server データベースに LOCAL タイプのグループ・アカウントを作成するには，次のコマンドを実行します。
NET GROUPMAP ADD NTGROUP=<CIFS Server group name> UNIXGROUP=<OpenVMS-resource-id-name> TYPE=LOCAL
たとえば，グループ・アカウント CIFSUSERS を作成するには次のようなコマンドを実行します。
$ NET GROUPMAP ADD NTGROUP=CIFSUSERS UNIXGROUP=CIFSUSERS TYPE=LOCAL
CIFS Server が PDC あるいは BDC の場合，CIFS Server データベースに DOMAIN タイプのグループ・アカウントも作成するには次のコマンドを実行します。
NET GROUPMAP ADD NTGROUP=<CIFS Server group name> UNIXGROUP=<OpenVMS-resource-id-name> TYPE=DOMAIN
たとえばグループ・アカウント DOMAINGROUP を作成するには，次のようなコマンドを実行します。
$ NET GROUPMAP ADD NTGROUP=DOMAINGROUP UNIXGROUP=DOMAINGROUP TYPE=DOMAIN
注記: スペースを含むグループ名は，たとえば "Account Team" のように引用符で囲みます。
グループの表示
マッピングされた OpenVMS リソース識別子を含め，CIFS Server データベースに存在するすべてのグループ・アカウントを表示するには，次のコマンドを実行します。
$ NET GROUPMAP LIST
グループのタイプに基づいてグループ・アカウントを表示するには， NET SAM LIST コマンドを使用します。
すべての組み込みグループを表示するには，次のコマンドを実行します。
$ NET SAM LIST BUILTIN
ローカル・グループを表示するには，次のコマンドを実行します。
$ NET SAM LIST LOCALGROUPS
CIFS Server が PDC あるいは BDC の場合，ドメイン・グループを表示するには次のコマンドを実行します。
$ NET SAM LIST GROUPS
それらの説明も含め，すべてのグループ・アカウント (すべてのタイプの) を表示するには，NET RPC GROUP LIST コマンドを使用します。ただしこのコマンドは，ユーザが管理者アカウントの認証情報を指定することが必要です。次に例を示します。
$ net rpc group list --user cifsadmin Password:
グループの削除
グループ・アカウントを削除する前に，NET RPC GROUP DELMEM コマンドを使用してグループ・メンバーを削除してから，CIFS Server データベースからグループを削除することをお勧めします。
CIFS Server データベースからグループ・アカウントを削除するには，NET RPC GROUP DELETE コマンドを使用します。
注記: このコマンドは管理者アカウントのユーザ固有の認証情報を必要とします。
次に例を示します。
$ net rpc group delete GROUP1 --user cifsadmin Password:
あるいは， NET GROUPMAP DELETE コマンドを使用して，CIFS Server データベースからグループ・アカウントを削除します。次に例を示します。
$ net groupmap delete ntgroup=GROUP1
グループ・メンバーの追加
グループ・メンバーの追加には NET RPC GROUP ADDMEM コマンドを使用します。
注記: このコマンドは管理者アカウントのユーザ固有の認証情報を必要とします。

たとえば，ドメイン PIANODOM のグループ PLAYERS を CIFS Server グループ CIFSUSERS に追加する場合，次のように実行します。
$ net rpc group addmem cifsusers pianodom\players --user cifsadmin Password:
グループ・メンバーの削除
グループからメンバーを削除するには，NET RPC GROUP DELMEM コマンドを使用します。
注記: このコマンドは管理者アカウントのユーザ固有の認証情報を必要とします。
たとえば，CIFS Server グループ CIFSUSERS から PIANODOM ドメインのグループ PLAYERS を削除する場合，次のように実行します。
$ net rpc group delmem cifsusers pianodom\players --user cifsadmin Password:
グループ・メンバーの表示
グループ・メンバーの表示には，NET RPC GROUP MEMBERS コマンドを使用します。なおこのコマンドは，ユーザが管理者アカウントの認証情報を指定する必要があります。たとえば，グループ CIFSUSERS のメンバーを一覧表示するには，次のようなコマンドを実行します。
$ net rpc group members cifsusers --user cifsadmin Password:

8.4 アカウント・ポリシーの管理

HP CIFS Server のアカウント・ポリシーは，CIFS Server 管理ユーティリティ SAMBA$ROOT:[BIN]SAMBA$MANAGE_CIFS.COM あるいは NET コマンドを使用して管理できます。

8.4.1 項「CIFS Server 管理ユーティリティによるアカウント・ポリシーの管理」では， SAMBA$ROOT:[BIN]SAMBA$MANAGE_CIFS.COM ユーティリティを使用して CIFS Server アカウント・ポリシーを設定および表示する方法について説明しています。
8.4.2 項「NET コマンドによるアカウント・ポリシーの管理」では，NET コマンドを使用して同様の操作を行う方法について説明しています。

8.4.1 CIFS Server 管理ユーティリティによるアカウント・ポリシーの管理

SAMBA$ROOT:[BIN]SAMBA$MANAGE_CIFS.COM ユーティリティを使用すると，メニュー・オプションを使用して HP CIFS Server データベースのアカウント・ポリシーの表示および設定が可能です。

CIFS Server 管理ユーティリティは次のコマンドで起動します。

$ @SAMBA$ROOT:[BIN]SAMBA$MANAGE_CIFS.COM

あるいは次のコマンドを実行します。

$ @SAMBA$ROOT:[BIN]SAMBA$DEFINE_COMMANDS
$ SMBMANAGE

これにより，HP OpenVMS CIFS Server Management Main Menu が表示されます。オプション 4 の Manage account policies を選択すると，アカウント・ポリシーの管理メニューが表示されます。

         
HP CIFS Server Account Policies Management Menu

                 1  - List Account policies
                 2  - Set Account policies
                [E] - Exit
Enter account policies menu option:

8.4.1.1 アカウント・ポリシーの表示

オプション 1 の List Account policies を選択すると， CIFS Server のアカウント・ポリシーを表示できます。次のような表示が出力されます。

 
 Account Policy for domain "PIANODOM":

Account policy "min password length" value is: 5
Account policy "password history" value is: 0
Account policy "user must logon to change password" value is: 0
Account policy "maximum password age" value is: -1
Account policy "minimum password age" value is: 0
Account policy "lockout duration" value is: 30
Account policy "reset count minutes" value is: 30
Account policy "bad lockout attempt" value is: 3
Account policy "disconnect time" value is: -1
Account policy "refuse machine password change" value is: 0

Press Enter to continue:

8.4.1.2 アカウント・ポリシーの設定

オプション 1 の Set Account policies で，CIFS Server データベースのアカウント・ポリシーを設定できます。次のような表示が出力されます。

            
    HP CIFS Server Set Account Policies Management Menu

                 1  - Minimum password length
                 2  - Password history
                 3  - User must logon to change password
                 4  - Maximum password age
                 5  - Minimum password age
                 6  - Lockout duration
                 7  - Reset count minutes
                 8  - Bad lockout attempt
                 9  - Disconnect time
                10 - Refuse machine password change
                [E] - Exit
Enter set account policies menu option:

この項の残りの部分で，アカウント・ポリシーを設定する際に利用できる各オプションについて詳しく説明します。パラメータの設定を変更するには，Enter set account policies menu option プロンプトでオプション番号を指定します。

8.4.1.2.1 パスワードの最短長

Minimum password length オプションは，パスワード長の下限を設定します。このポリシーは，パスワードで必要とする最小文字数を指定し，0 ～ 4294967295 の値を指定できます。値 0 はパスワード無しを意味します。

8.4.1.2.2 パスワードの履歴

Password history オプションは，古いパスワードを再利用できるようになるまでに設定しなければならない新しいパスワードの数を指定します。この値は，履歴として保持するパスワードの数で，0 ～ 4294967295 の範囲で指定します。

8.4.1.2.3 パスワードの変更にユーザ・ログオンが必要

"User must logon to change password" ポリシーを有効にすると，パスワードの変更の前にユーザによる CIFS Server へのログオンが必要になります。ユーザ・アカウントのパスワードが期限切れになっている場合，そのユーザのアカウントは管理者のみが変更できます。値 0 (ゼロ) はこのアカウント・ポリシーを無効にし，値 2 以上だとこのポリシーが有効になります。

8.4.1.2.4 パスワードの有効期限

Maximum password age オプションは，サーバーからの変更要求が発行されるまでの間，ユーザのパスワードが使用可能となる最大秒数を設定します。この値は 0 ～ 4294967295 の範囲で指定できます。

8.4.1.2.5 パスワードが変更可能になるまでの最小期間

Minimum password age オプションは，パスワードが変更可能になるまでの間，そのユーザ・パスワードを使用しなければならない秒数を指定します。パスワード履歴値が設定されている場合，CIFS Server はパスワードをすぐに変更することを許可しません。この値は 0 ～ 4294967295 の範囲で指定できます。

8.4.1.2.6 ロックアウト期間

Lockout duration オプションは，ロックアウトされたアカウントのロックが自動的に解除されるまでの値を分の単位で指定します。この値は 0 ～ 4294967295 の範囲で指定できます。

8.4.1.2.7 ログイン失敗回数のリセット時間

Reset count minutes オプションは，最も近いログインの失敗が発生してからログイン失敗回数の値がゼロにリセットされるまでの期間を，分の単位で指定します。たとえば，"reset count minutes" が 30 分に設定されている場合，ログインが最後に失敗してから 30 分が経過すると，ログイン失敗回数がゼロにリセットされます。この値は 0 ～ 4294967295 の範囲で指定できます。

8.4.1.2.8 不正ログインのロックアウト

Bad lockout attempt オプションはログインの失敗回数を指定します。指定した回数のログインの失敗が発生すると，そのアカウントはロックされます。この値は 0 ～ 4294967295 の範囲で指定できます。値 0 (ゼロ) はこのポリシーを無効にし， 0 より大きな値はこのポリシーを有効にします。

8.4.1.2.9 切断時間

Disconnect time オプションは，ユーザ・アカウントのログイン時間が所定の時間を越えた場合に，そのユーザのドメイン内のサーバーへの接続を強制的に切断するかどうかを制御します。このオプションは，各ユーザ・アカウントに対して定義されているログイン時間をもとに処理を行います。この値は 0 ～ 4294967295 の範囲で指定できます。値 0 (ゼロ) の場合はこのポリシーが有効で，ユーザの接続が切断されます。このポリシーを無効にするには，値を 4294967295 に設定します。

8.4.1.2.10 マシン・パスワードの変更の禁止

Refuse machine password change オプションが設定されている場合は，マシン・アカウントのパスワードの変更が許可されません。値 0 (ゼロ) の場合はこのポリシーが無効で， 0 よりも大きな値だとこのポリシーが有効になります。

8.4.2 NET コマンドによるアカウント・ポリシーの管理

CIFS Server は以下のアカウント・ポリシーをサポートします。

min password length
password history
user must logon to change password
maximum password age
minimum password age
lockout duration
reset count minutes
bad lockout attempt
disconnect time
refuse machine password change

これらのアカウント・ポリシーについては， 8.4.1.2 項「アカウント・ポリシーの設定」を参照してください。

アカウント・ポリシーの値を表示するには，次のコマンドを使用します。

NET SAM POLICY SHOW "<account policy>"

たとえば，アカウント・ポリシー min password length の値を表示するには，次のようなコマンドを実行します。

$ NET SAM POLICY SHOW "min password length"

アカウント・ポリシーの値を変更するには，次のコマンドを使用します。

NET SAM POLICY SET "<account policy>" <value>

たとえば，アカウント・ポリシー password history の値を変更するには，次のようなコマンドを実行します。

$ NET SAM POLICY SET "password history" 3

8.5 信頼関係の管理

CIFS Server が CIFS ドメイン内の PDC の場合，HP CIFS Server は，他のドメイン (外部ドメイン) と信頼関係を確立できます。信頼関係とは，あるドメインが別のドメインのユーザを信頼するような 2 つのドメイン間のリンクで，この関係が確立されている場合，他のドメインが自身のユーザに対して行ったログイン認証を受け入れます。信頼されたドメインで定義されたユーザ・アカウントおよびグローバル・グループは，信頼するドメインとそのメンバー・システムの特権，リソース権限，ローカル・グループを，たとえ信頼するドメインのセキュリティ・データベースにそれらのアカウントが存在しなくても，認証することができます。ネットワーク内のすべてのドメイン間で適切な信頼関係が確立されている場合，ユーザが 1 つのドメインで持つ 1 つのユーザ・アカウントと 1 つのパスワードのみで，ネットワーク内の任意のリソースへのアクセスが可能となります。

信頼関係の確立には，2 つの異なるドメインで，まず最初のドメインでもう 1 つのドメインを許可し，次に 2 つめのドメインで最初のドメインの信頼を設定するという 2 段階の処理が必要になります。双方向の信頼関係 (各ドメインが他ドメインを信頼する) の確立には，両方のドメインで上記の両方の処理を行う必要があります。

信頼関係は，CIFS Server 管理ユーティリティ SAMBA$ROOT:[BIN]SAMBA$MANAGE_CIFS.COM あるいは NET コマンド・ユーティリティを使用して管理できます。 8.5.1 項「 CIFS Server 管理ユーティリティによる信頼の管理」では SAMBA$ROOT:[BIN]SAMBA$MANAGE_CIFS.COM による信頼関係の表示および確立について説明し，8.5.2 項「NET コマンドによる信頼の管理」では NET コマンドで同様の操作を行う方法について説明します。

8.5.1 CIFS Server 管理ユーティリティによる信頼の管理

SAMBA$ROOT:[BIN]SAMBA$MANAGE_CIFS.COM ユーティリティを使用すると，メニュー形式で信頼関係の表示と確立が可能です。

CIFS Server 管理ユーティリティは下記のコマンドで起動します。

$ @SAMBA$ROOT:[BIN]SAMBA$MANAGE_CIFS.COM

あるいは下記のコマンドを使用します。

$ @SAMBA$ROOT:[BIN]SAMBA$DEFINE_COMMANDS
$ SMBMANAGE

これにより，HP OpenVMS CIFS Server Management Main Menu が表示されます。オプション 5 の Manage trusts を選択すると，信頼関係の管理メニューが表示されます。

        HP CIFS Server Trust Relationship Management Menu

                 1  - List trusts
                 2  - Add in-coming trust
                 3  - Remove in-coming trust
                 4  - Add out-going trust
                 5  - Remove out-going trust
                 6  - Help
                [E] - Exit
Enter item number:

以降の各項で，信頼関係の管理メニューから利用できる各オプションについて説明します。 Enter item number: プロンプトに対して，オプションの番号を指定してください。

8.5.1.1 信頼関係の表示

list trusts オプションを選択すると， CIFS Server データベースに現在存在する，信頼する関係(入力方向の信頼)，および信頼される関係(出力方向の信頼)が表示されます。たとえば，次のような出力が表示されます。

Trusted domains list:

CIFSDOM             S-1-5-21-160935111-2493731623-2036278074

Trusting domains list:

CIFSDOM             S-1-5-21-3707034097-1477131719-1377839329

Press Enter to continue:

8.5.1.2 入力方向の信頼の追加

CIFS ドメインに属するユーザが外部ドメインのリソースにアクセスできるようにするために，CIFS ドメインが外部ドメインを信頼できるように設定する必要があります。この処理は，次の 2 段階の処理で行います。

CIFS ドメインで，外部ドメインに対する入力方向の信頼アカウント(信頼するアカウント) を作成し，指定された信頼アカウント・パスワードを書き留めます。入力方向の信頼アカウントの追加には，trust relationship management menu の Add in-coming trust オプションが使用できます。

外部ドメインで，CIFS ドメインに対する出力方向の信頼アカウント(信頼されるアカウント) を作成します。この処理の間，手順 1 で指定された信頼アカウント・パスワードを使用する必要があります。

このユーティリティを使用して入力方向の信頼アカウントを追加する間，次のような項目を入力するためのプロンプトが表示されます。

入力方向の信頼アカウントを追加する外部ドメイン名
CIFS ドメインの管理者の認証情報
OpenVMS ユーザ・アカウントのグループ ID (idmap uid および idmap gid パラメータが構成ファイル SMB.CONF に無い場合)
信頼アカウント・パスワード。外部ドメインで手順 2 を実行した際に必要とされた，信頼アカウント・パスワードを憶えておく必要があります。

CIFS Server データベースに入力方向の信頼アカウントを正しく追加するために，SYSUAF データベースに対応する OpenVMS アカウント名が存在しない場合，ユーティリティがこれを追加します。外部ドメインに対する OpenVMS アカウント名は，外部ドメインの後ろにドル記号 ($) を添える形で SYSUAF データベースに追加されます。たとえば，外部ドメイン名が WINDOM の場合，SYSUAF データベースに追加される OpenVMS アカウント名は，WINDOM$ になります。




	注記: 外部ドメインが Windows ドメインの場合， CIFS ドメインと Windows ドメイン間の出力方向の信頼あるいは双方向の信頼を追加して手順 2 の処理を完了するには， 8.5.2.9 項「Windows ドメインでの信頼の確立」を参照してください。 OpenVMS のアカウント名の制約により，現在のところ，このユーティリティは 12 文字未満のドメイン名に対する入力方向の信頼アカウントの作成に限定されます。

8.5.1.3 入力方向の信頼の削除

入力方向の信頼アカウントの削除には，オプション Remove in-coming trust が使用できます。ドメインに対する入力方向の信頼を削除すると，CIFS ドメインから外部ドメインのリソースにアクセスするユーザの能力が削除されます。入力方向の信頼アカウントを正しく削除するために，このユーティリティは，CIFS ドメインの管理者の認証情報を尋ねるプロンプトを表示します。

8.5.1.4 出力方向の信頼の追加

外部ドメインに属するユーザが CIFS ドメインのリソースにアクセスできるようにするには，外部ドメインと信頼を確立する必要があります。この処理は，次の 2 段階の処理で行います。

外部ドメインで，CIFS ドメインに対する入力方向の信頼アカウントを作成し，指定された信頼アカウント・パスワードを書き留めます。
CIFS ドメインで，外部ドメインに対する出力方向の信頼 (信頼されたアカウント) を作成します。出力方向の信頼アカウントの追加にはオプション Add out-going trust が使用できます。外部ドメインとの出力方向の信頼は，上記の手順 1 でも説明したように， CIFS ドメインに対する入力方向の信頼アカウントが外部ドメインで作成された後でのみ正常に確立できます。

このユーティリティで出力方向の信頼アカウントを追加する際，次のような項目を入力するためのプロンプトが表示されます。

出力方向の信頼を確立する外部ドメイン名
信頼アカウント・パスワード。これは，手順 1 で，CIFS ドメインに対する入力方向の信頼アカウントを外部ドメインで作成した際に指定したのと同じパスワードでなければなりません。
外部ドメインの PDC エミュレータの完全修飾ドメイン名(FQDN) FQDN で PDC エミュレータに到達できない場合，ユーティリティは，PDC エミュレータの IP アドレスを入力するためのプロンプトを表示します。




	注記: 外部ドメインが Windows ドメインの場合， 8.5.2.9 項「Windows ドメインでの信頼の確立」を参照して，CIFS ドメインおよび Windows ドメイン間で入力方向の信頼あるいは双方向の信頼を追加して手順 1 を完了してください。

8.5.1.5 出力方向の信頼の削除

出力方向の信頼関係の削除には Remove out-going trust オプションを使用できます。ドメインの出力方向の信頼関係を削除すると，外部ドメイン・ユーザは CIFS ドメインのリソースにアクセスできなくなります。出力方向の信頼を正しく削除するために，ユーティリティは，削除する出力方向の信頼名 (外部ドメイン) とともに CIFS ドメインの管理者の認証情報の入力を促すプロンプトを表示します。

8.5.2 NET コマンドによる信頼の管理

NET RPC TRUSTDOM コマンドを使用して，信頼関係を手動で表示，追加，および削除することができます。

8.5.2.1 信頼関係の表示

CIFS Server データベースの既存の信頼関係は次のコマンドで表示できます。

NET RPC TRUSTDOM LIST -U <CIFS domain administrator user>

たとえば，アカウント CIFSADMIN　を使用した信頼関係を一覧表示するには，次のようなコマンドを実行します。

$ NET RPC TRUSTDOM LIST -U CIFSADMIN
Password:

プロンプトに対して，CIFS ドメインの管理者のパスワードを入力します。

8.5.2.2 入力方向の信頼の追加

CIFS Server PDC で外部ドメインに対して入力方向の信頼 (信頼するアカウント) を追加する方法について以下に説明します。

入力方向の信頼アカウント (信頼するアカウント) を作成する外部ドメインのドメイン名と一致する名前にドル記号 ($) を追加して OpenVMS アカウントを作成します。
たとえば，外部ドメインの NetBIOS 名が trustingdom の場合，次のようなコマンドを実行します。
$ MC AUTHORIZE COPY SAMBA$TMPLT TRUSTINGDOM$ /UIC=[1000,1]
NET コマンドを実行して入力方向の信頼アカウントを追加します。コマンド構文は次のとおりです。
NET RPC TRUSTDOM ADD <foreign-domain-name> <trust-account-password>
-U<CIFS domain administrator user>
たとえば，外部ドメインの NetBIOS 名が trustingdom で，CIFS ドメインの管理者名が CIFSADMIN の場合，次のようなコマンドを実行します。
$ NET RPC TRUSTDOM ADD TRUSTINGDOM "TrustPwd1" -U CIFSADMIN Password:
プロンプトに対して，CIFS ドメインの管理者のパスワードを入力します。




	注記: 信頼関係を完成させるには，外部ドメイン (たとえば TRUSTINGDOM ドメイン) で，上記の手順 2 で指定したものと同じ信頼アカウント・パスワードを使用して， CIFS ドメインに対する出力方向の信頼(信頼されたドメイン・アカウント) を追加する必要があります。外部ドメインが Windows ドメインの場合，8.5.2.9 項「Windows ドメインでの信頼の確立」を参照して CIFS ドメインと Windows ドメイン間に出力方向の信頼あるいは双方向の信頼を追加してくださ。

8.5.2.3 入力方向の信頼の削除

外部ドメインに対する入力方向の信頼アカウント(信頼するアカウント) を削除するためのコマンド構文は，以下のとおりです。

NET RPC TRUSTDOM DEL <foreign-domain-name> -U <CIFS domain administrator user>

たとえば，外部ドメイン trustingdom に対する入力方向の信頼アカウントを削除するには，CIFS 管理者名が CIFSADMIN の場合，次のコマンドを実行します。

$ NET RPC TRUSTDOM DEL TRUSTINGDOM -U CIFSADMIN
Password:

プロンプトに対して CIFS ドメインの管理者のパスワードを入力します。

8.5.2.4 出力方向の信頼の追加

外部ドメインで CIFS ドメインに対する入力方向の信頼アカウント(信頼するアカウント) を追加した後，信頼関係の確立を完了させるには，外部ドメインに対する出力方向の信頼 (信頼されたドメイン関係) を確立しなければなりません。この処理には，NET RPC TRUSTDOM コマンドで出力方向の信頼関係を確立するのとは別に，必要に応じて idmap domains パラメータ値を設定する作業も含まれます。

8.5.2.5 idmap domains パラメータの設定

信頼されたドメインのユーザが CIFS Server PDC のリソースにアクセスできるように，idmap domains パラメータ値を設定することができます。この設定はオプションで，CIFS Server が OpenVMS ユーザ・アカウントおよびリソース識別子の作成とマッピングに WINBIND の自動マッピングを使用する場合のみ設定が必要です。 idmap domains パラメータはドメインのリストを定義し，WINBIND の SID/UID/GID テーブルを管理するためにそれぞれはバックエンドで構成されます。このリストには，WINBIND のプライマリあるいは信頼されたドメイン全体のための短いドメイン名が含まれます。 idmap domains パラメータのデフォルト値はありません。

たとえば，外部ドメイン WINDOM に対して CIFS Server で出力方向の信頼を追加する場合，次のように設定します。

idmap domains = WINDOM

idmap alloc backend = tdb

ドメイン名をコンマで区切って，idmap domains に複数のドメイン名を指定することができます。

8.5.2.6 LMHOSTS. ファイルの更新

CIFS ドメインの CIFS Server PDC および外部ドメインの PDC エミュレータで出力方向の信頼関係を確立する際に使用する名前解決の方法を決定します。名前の解決に WINS Server を使用しない場合は，CIFS Server PDC の samba$root:[lib]lmhosts ファイルを外部ドメインのためのエントリで更新します

次の例は，ドメイン WINDOM の IP アドレス 10.20.20.40 の WINPDC という名前の Windows PDC Emulator に対して，CIFS Server PDC で必要となる lmhosts. ファイルのエントリです。

10.20.20.40 WINPDC
10.20.20.40 WINDOM#1B
10.20.20.40 WINDOM#1C

8.5.2.7 出力方向の信頼の確立

CIFS Server で外部ドメインに対して出力方向の信頼を確立するためのコマンド構文は，次のとおりです。

NET RPC TRUSTDOM ESTABLISH <foreign domain name>

プロンプトに対して入力するパスワードは，外部ドメインで CIFS ドメインに対して入力方向の信頼アカウント(信頼するアカウント) を追加する際に提供される信頼アカウント・パスワードと同じでなければなりません。




	注記: 出力方向の信頼関係を CIFS Server の外部ドメインに追加する前に，外部ドメインで CIFS ドメインに対して入力方法の信頼アカウント (信頼するアカウント) を追加しておかなければなりません。外部ドメインが Windows ドメインの場合，CIFS ドメインと Windows ドメイン間で入力方向の信頼あるいは双方向の信頼を追加するには，8.5.2.9 項「Windows ドメインでの信頼の確立」を参照してください。

8.5.2.8 出力方向の信頼の削除

CIFS Server で外部ドメインに対する出力方向の信頼関係を削除するには，次のコマンドを使用します。

NET RPC TRUSTDOM REVOKE <foreign-domain-name> -U <CIFS domain administrator user>

十分な特権を持った OpenVMS アカウント (たとえば SYSTEM) を使用して OpenVMS システムにログインした場合，次のコマンドが使用できます。

$ NET RPC TRUSTDOM REVOKE <foreign-doimain-name>

プロンプトが表示されたら，CIFS ドメインの管理者のパスワードを入力します。

8.5.2.9 Windows ドメインでの信頼の確立

CIFS ドメインと Windows ドメイン間で入力方向 (信頼する) と出力方向 (信頼される) の関係を完成させるには，CIFS ドメインと Windows ドメインで双方向 (入力方向および出力方向) の信頼関係を確立する必要があります。 8.5.1 項「 CIFS Server 管理ユーティリティによる信頼の管理」および 8.5.2 項「NET コマンドによる信頼の管理」では， HP CIFS Server で入力方向の信頼および出力方向の信頼を，自動化された手順あるいは手動でコマンドを実行して追加する方法を，それぞれ説明しています。この項では，Windows システムで入力方向の信頼と出力方向の信頼を別々に追加する方法と，双方向の信頼関係を確立する方法を説明しています。

8.5.2.9.1 LMHOSTS. ファイルの更新

CIFS ドメインと Windows ドメイン間でいずれかのタイプの信頼関係を追加する前に， CIFS ドメインの CIFS Server PDC と Windows ドメインの PDC エミュレータが使用する名前解決方法を決定する必要があります。 Windows ドメインの PDC エミュレータが WINS Server を使用して CIFS ドメインの PDC 名を解決できない場合，Windows PDC エミュレータ上の lmhosts ファイルは CIFS ドメインの CIFS Server PDC のエントリで更新しなければなりません。

下記に示すのは，CIFS ドメイン PIANODOM にある IP アドレス 10.20.30.40 の PIANO という名前の CIFS Server PDC に対する Windows PDC エミュレータで必要となる lmhosts. ファイルのエントリの例です。

10.20.30.40 piano #PRE #DOM:pianodom
10.20.30.40 "pianodom       \0x1b" #PRE
10.20.30.40 "pianodom       \0x1c" #PRE




	注記: 上記のエントリの引用符で囲まれた部分は，正確に 20 文字でなければなりません。ドメイン名はスペースを埋め込んで 15 文字とし，最後に \0x1b あるいは \0x1c を付けます。

8.5.2.9.2 双方向 trust の確立

Windows ドメインで入力方向の信頼と出力方向の信頼の両方を確立するには， Windows ドメインの PDC エミュレータで次のような手順を実行します。

「新しい信頼ウィザード」をオープンします。
このためには，Windows ドメイン名を Windows PDC エミュレータの Windows ドメイン名を選択し，「プロパティ」を右クリックします。その Windows ドメインに対して表示された「プロパティ」ダイアログ・ボックスから，「新しい信頼」をクリックします。
「新しい信頼ウィザード」で「次へ」をクリックし，「新しい信頼ウィザード」の「信頼の名前」ウィンドウをオープンします。
「名前」の下で，CIFS ドメインの NetBIOS 名をタイプします。たとえば CIFS ドメイン名が pianodom の場合，図 8-1 のように PIANODOM とタイプし，「次へ」をクリックします。
図 8-1 CIFS ドメイン名の入力
入力方向の信頼と出力方向の信頼の両方を確立するために「信頼の方向」ウィンドウで「双方向」を選択し，「次へ」をクリックします。
図 8-2 信頼の方向の選択
「出力方向の信頼認証レベル」ウィンドウで　「ドメイン全体の認証」オプションを選択し，「次へ」をクリックします。
図 8-3 認証レベルの選択
「新しい信頼ウィザード」の「信頼パスワード」ウィンドウで信頼アカウントのパスワードを入力します。 CIFS ドメインの CIFS Server PDC で入力方向の信頼および出力方向の信頼を追加する際にそのパスワードが必要になるので，書き留めておいてください。「次へ」をクリックして「信頼の選択の完了」ウィンドウを表示します。
図 8-4 詳細セキュリティ設定ウィンドウ
「信頼の選択の完了」ウィンドウに追加される信頼のタイプに関する情報が表示され，その信頼の作成の準備ができていることを示すメッセージが表示されます。このウィンドウで「次へ」をクリックします。次に「信頼の作成完了」ウィンドウが表示されます。
図 8-5 詳細セキュリティ設定ウィンドウ
正しく信頼が作成されたら，「信頼の作成完了」ウィンドウが表示されます。「次へ」をクリックします。
「出力方向の信頼の確認」ウィンドウで確認しないを選択し，「次へ」をクリックします。
「入力方向の信頼の確認」ウィンドウで確認しないを選択し，「次へ」をクリックします。
「新しい信頼ウィザードの完了」ウィンドウで「完了」をクリックし，ウィザードを終了します。
信頼関係を完成させるために，手順 5 で「新しい信頼ウィザード」の「信頼パスワード」ウィンドウで入力したものと同じパスワードを指定して，CIFS ドメインの CIFS Server PDC で入力方向の信頼および出力方向の信頼を追加します。

8.5.2.9.3 入力方向の信頼の確立

CIFS ドメインと Windows ドメイン間で一方向のみの信頼を確立したいような場合があるかもしれません。 CIFS ドメインで Windows ドメインのリソースに対するユーザ・アクセスを可能にするには，Windows ドメインで CIFS ドメインに対する入力方向の信頼を確立します。 Windows ドメインの PDC エミュレータで入力方向の信頼を確立する手順は以下のとおりです。

「新しい信頼ウィザード」をオープンします。
このためには，Windows PDC エミュレータの Windows ドメイン名を選択して，「プロパティ」を右クリックします。 Windows ドメインに対して表示される「プロパティ」ダイアログ・ボックスから，「新しい信頼」をクリックします。「新しい信頼ウィザード」が表示されたら，「次へ」をクリックして「新しい信頼ウィザード」の「信頼の名前」ウインドウを表示しさせす。
「名前」の下に CIFS ドメインの NetBIOS 名を入力して「次へ」をクリックします。たとえば，CIFS ドメイン名が pianodom であれば PIANODOM と入力します。
入力方向の信頼を確立するために「信頼の方向」ウィンドウで「一方向: 入力方向」を選択し，「次へ」をクリックします。
「新しい信頼ウィザード」の「信頼パスワード」ウィンドウで信頼アカウントのパスワードを入力します。 CIFS ドメインの CIFS Server PDC で出力方向の信頼を追加する際に必要となるため，そのパスワードは書き留めておきます。その後「次へ」をクリックします。
「信頼の選択の完了」ウィンドウには，追加されようとしている信頼のタイプに関する情報が表示されます。このウィンドウで「次へ」をクリックすると，その後「信頼の作成完了」ウィンドウが表示されれます。
信頼が正しく作成されると，「信頼の作成完了」ウィンドウが表示されます。この後「次へ」をクリックします。
「入力方向の信頼の確認」ウィンドウで確認しないを選択し，「次へ」をクリックします。
「新しい信頼ウィザードの完了」ウィンドウで「完了」をクリックして，ウィザードをクローズします。

8.5.2.9.4 入力方向の信頼の確立

CIFS ドメインのユーザが Windows ドメインのリソースにアクセスできるようにするためには，Windows ドメインで CIFS ドメインに対する入力方向の信頼を確立します。 Windows ドメインの PDC エミュレータで入力方向の信頼を確立する手順は以下のとおりです。

「新しい信頼ウィザード」をオープンします。
このためには，Windows PDC エミュレータの「Active Directory ドメインと信頼関係」アプレットから Windows ドメイン名を選択し，「プロパティ」を右クリックそます。 Windows ドメインに対して表示される「プロパティ」ダイアログ・ボックスから，「新しい信頼」をクリックします。表示された「新しい信頼ウィザード」で「次へ」をクリックして，「新しい信頼ウィザード」の「信頼の名前」ウィンドウを表示します。
「名前」の下に CIFS ドメインの NetBIOS 名を入力し，「次へ」をクリックします。たとえば，CIFS ドメイン名が pianodom の場合は，PIANODOM と入力します。
入力方向の信頼を確立するために「信頼の方向」ウィンドウで「一方向: 入力方向」を選択し，「次へ」をクリックします。
「新しい信頼ウィザード」の「信頼パスワード」ウィンドウで信頼アカウント・パスワードを入力します。このパスワードは，CIFS ドメインの CIFS Server PDC で出力方向の信頼を追加する際に必要となるため，書き留めておきます。この後「次へ」をクリックします。
「信頼の選択の完了」ウィンドウに，追加される信頼の対応についての情報が表示されます。このウィンドウで「次へ」をクリックすると，「信頼の作成完了」ウィンドウが表示されます。
信頼が正しく作成されると「信頼の作成完了」ウィンドウが表示されます。「次へ」をクリックします。
「入力方向の信頼の確認」で確認しないを選択し，「次へ」をクリックします。
「新しい信頼ウィザードの完了」で「完了」をクリックしてウィザードをクローズします。
信頼関係を完成させるために，手順 4 の新しい信頼ウィザードの信頼パスワードウィンドウで入力したのと同じ信頼アカウント・パスワードを指定して，CIFS ドメインの CIFS Server PDC で出力方向の信頼を追加します。

8.5.2.9.5 出力方向の信頼の確立

Windows ドメインのユーザが CIFS ドメインのリソースにアクセスできるようにするために，Windows ドメインで CIFS ドメインに対する出力方向の信頼を確立することができます。 Windows ドメインで出力方向の信頼を確立する前に， CIFS ドメインの CIFS Server PDC で Windows ドメインに対する入力方向の信頼を追加し，信頼パスワードを書き留めます。信頼関係を完成させるために，Windows ドメインで CIFS ドメインに対して出力方向の信頼を追加します。

Windows ドメインの PDC エミュレータで出力方向の信頼を確立する手順は，以下のとおりです。

「新しい信頼ウィザード」をオープンします。
Windows PDC エミュレータで「Active Directory ドメインと信頼」アプレットから Windows ドメイン名を選択し，「プロパティ」を右クリックします。 Windows ドメインに対して表示される「プロパティ」ダイアログ・ボックスから，「新しい信頼」をクリックします。表示された「新しい信頼ウィザード」で「次へ」をクリックして，「新しい信頼ウィザード」の「信頼の名前」ウィンドウを表示します。
「名前」の下に，CIFS ドメインの NetBIOS 名を入力して，「次へ」をクリックします。たとえば CIFS ドメイン名が pianodom であれば，PIANODOM と入力してください。
入力方向の信頼を確立するために「信頼の方向」ウィンドウで「一方向: 出力方向」を選択し，「次へ」をクリックします。
「出力方向の信頼認証レベル」ウィンドウで「ドメイン全体の認証」を選択して，「次へ」をクリックしてください。
「新しい信頼ウィザード」の「信頼パスワード」ダイアログ・ボックスで信頼アカウントのパスワードを入力します。 CIFS ドメインの CIFS Server PDC で出力方向の信頼を追加する際に必要となるため，そのパスワードは書き留めておきます。その後，「次へ」をクリックします。
「信頼の選択の完了」ウィンドウには，追加される信頼のタイプに関する情報が表示されます。「次へ」をクリックします。
「信頼の作成完了」ウィンドウが表示されます。
「次へ」をクリックします。出力方向の信頼の確認ダイアログ・ボックスが表示されます。
確認しないを選択，「次へ」をクリックします。
「新しい信頼ウィザードの完了」で「完了」をクリックします。

8.5.3 信頼関係の確認

Windows PDC で信頼関係を確認する手順は以下のとおりです。

「Active Directory ドメインと信頼関係」アプレットから Windows ドメイン名を選択して「プロパティ」を右クリックします。
Windows ドメインに対して表示された「プロパティ」ダイアログ・ボックスから，信頼関係を確認する CIFS ドメイン名を選択し，「プロパティ」をクリックします。
CIFS ドメインに対して表示された「プロパティ」ダイアログ・ボックスから，「検証」をクリックします。
「Active Directory」ウィンドウで HP CIFS ユーザ名と Password を入力します。「OK」をクリックします。

図 8-6 Active Directory

The trust has been validated. It is in place and active というメッセージが表示されます。

第8章 ユーザ，グループ，アカウント・ポリシー，信頼関係の管理

OpenVMSドキュメント・ライブラリ