第7章 WINBIND のサポート

この章では，HP CIFS winbind機能について説明し，使用方法と最適な構成方法について説明します。

7.1 概要

ユーザとグループの識別に，OpenVMSとMicrosoft Windowsでは異なる技術を使用しています。HP CIFS Serverを使用すると，この問題が解消されます。Windowsに実装されたユーザとグループのセキュリティIDであるSIDをOpenVMSに実装されたユーザとグループのIDであるUID/GIDにマップする機能として，CIFSでは複数の方法が用意されています。WINBINDもその1つです。 winbindの目的は，UIDとGIDを自動生成し，最小限のID管理作業でWindows SIDとの対応を維持することです。

ご使用の環境に対して適切な構成を選択することがIT管理上の問題を最小限に抑えるために重要となるため，HP CIFS Serverの構成を行う前にWINBINDについて理解しておくことが必要です。ディレクトリとファイルは，所有者のIDに基づく権限に従ってファイルシステムで管理されるため，ご使用中の環境で最善のマッピング方法を選択することが重要です。最初から適切な構成を選択しておかないと，時間が経つに連れてユーザマップを変更することが難しくなります。この章は，winbindを理解し，HP CIFSを適切に構成する際に役立ちます。

winbindについての詳細は，以下のURLの『Samba 3.0 HOWTO and Reference Guide』を参照してください。

http://us3.samba.org/samba/docs/man/Samba-HOWTO-Collection/




	注記: HP CIFS for OpenVMSでも`winbind`の機能がそのまま提供されているので『Samba 3.0 HOWTO and Reference Guide』の`winbind`に関する説明はそのまま参照できます。ただし，機能の実装方法については異なっています。

7.2 WINBIND の特長

WINBINDには，以下の特長があります。

ユーザIDおよびグループIDの割り当て

対応するUID/GIDを持たないWindows SIDがwinbindに対して提供されると， winbindはUID/GIDを生成します。構成の内容に依存して，winbindは以下のアルゴリズムを使用してIDを作成します。

ローカルインクリメント

WINBINDのデフォルト設定を使用すると，IDの値には定義された範囲内で現在最も大きな値に単純に1を加えた値が割り当てられます。値の保管場所は，ローカルHP CIFS Serverに限定されます。




	警告! idmap ファイルをバックアップしておくと， UIDとGIDのマップを再作成せずにリストアすることができます。ローカルインクリメントモデルでは，idmapファイルを定期的にバックアップする必要があります。このソリューションには，同一のWindowsユーザに対するUID/GIDの値がシステムにより異なるという欠点があります。また，idmapファイルが再作成された場合にUIDとGIDのマップが以前のマップとは異なり，重大なセキュリティ上の問題 (ファイル所有者の変更) を発生させる原因となる可能性があります。

IDマッピング
WINBINDは，特定のWindows SIDと，それに対応するOpenVMS UID/GID間のマッピングを作成します。 WINBIND は上記のいずれかの方法を使って，OpenVMS UID/GIDとWindows SID間のマッピングを作成します。winbindは，Windows SIDを使って既存のUID/GIDマップを検出するか，または既存のマップがない場合には新しいマップを作成します。
IDの格納
winbindはデータベースを管理し，そこにOpenVMS UID/GIDとWindows SID間のマッピングを格納します。最も単純なケースでは，winbindは，SAMBA$ROOT:[VAR.LOCKS]ディレクトリのwinbind_idmap.tdbという名前のローカルの Trivial Data Base (TDB)ファイルでデータベースを維持します。

7.3 winbindの処理フロー

図 7-1 に示すのは，メンバーサーバーとしてHP CIFSを構成したWindowsドメイン環境におけるwinbindの処理フローです。

図 7-1 winbindの処理フロー

図 7-1に示したwinbindの処理フローを以下に示します。

Windowsクライアントが，ドメインへログインします(認証)。
Windowsドメインコントローラがクライアントを認証し，ユーザ・セキュリティ・データを返します。
Windowsクライアントは，HP CIFS共有をマップします。
HP CIFS メンバーサーバーがWindowsドメインコントローラにユーザ名を渡し，そのユーザがドメインメンバーかどうか確認します。
Windowsドメインコントローラは，ユーザ認証リストとメンバーSIDリストを返します。
smbd プロセスがSIDとユーザ情報をwinbinｄモジュールに渡します。
WINBINDが，SIDおよびユーザ名をIDマッピング・データベースのIDマッピング・データで確認します。 WINBINDは，既存のWindows SIDとOpenVMS UID/GID間のマップを探します。既存のマップがない場合には新しいマップを作成します。
TDBデータベースからマップされたUIDまたはGIDを返します。
WINBINDは，smbdにUID/GIDマッピングを返します。
HP CIFS Serverはマップされた共有をWindowsクライアントに提示します。
Windowsクライアントは，HP CIFS Server共有のファイルを開きます。
UIDとGIDがACLのファイル所有者，グループ，およびその他のACEと比較されます。
手順12の結果によって，ファイル・オープン操作の許可あるいは拒否がなされます。
HP CIFS ServerがWindowsクライアントへオープン状況を返します。

7.4 WINBIND の機能

WINBIND は，次のような機能を提供する HP CIFS Server の特別な機能です。

自動マッピング
HP CIFS Server がメンバーサーバーとなっているドメインあるいは信頼されているドメインに対しては， WINBIND は対応する OpenVMS ユーザおよびグループ (リソース識別子) を自動的に作成しマッピングします。
入れ子グループのサポート
入れ子グループを使用すると，信頼されたドメインからのものも含め，ドメイン・グローバル・グループはローカル・グループのメンバー(あるグループ内のグループ，あるいは入れ子グループ) となることができます。入れ子グループは，サーバーの役割には関係なく，任意のサーバーで使用できます。
信頼
CIFS が PDC あるいは BDC の場合， WINBIND はすべての信頼機能で必要になります。

CIFS Server が提供する WINBIND 機能は，論理名 WINBNDD_DONT_ENV で制御されます。また，idmap uid および idmap gid パラメータの有効な範囲が，HP CIFS Server 構成ファイルで指定されていなければなりません。これらのパラメータが省略されている場合，自動マッピング機能は使用できません。この論理名が無効あるいは未定義の場合，HP CIFS Server は WINBIND 機能を提供します。次のようにこの論理名に 1 を定義すると，すべての WINBIND 機能が無効になります。

$ DEFINE/SYSTEM WINBINDD_DONT_ENV 1

デフォルトでは，WINBINDD_DONT_ENV 論理名は定義されていません。 WINBIND 機能は，CIFS サーバーがメンバーとなるドメインあるいは信頼されたドメインに属するようなユーザおよびグループの処理において重要な役割を果たすため，スタンドアロン・サーバーである場合を除き， WINBIND 機能は無効にしないことをお勧めします。

7.4.1 自動マッピング

WINBIND は，OpenVMS ユーザ・アカウントとリソース識別子(POSIX GID 形式)を作成し，適切な Windows SID に対するそれらの対応を維持して ID 管理のための労力を最小化します。 WINBIND ID マッピング・データベース・ファイル SAMBA$ROOT:[VAR.LOCKS]WINBINDD_IDMAP.TDB は，Windows SID と OpenVMS ユーザ・アカウントおよびリソース識別子との間のマッピングを維持します。 Windows SID と OpenVMS ユーザ・アカウントあるいはリソース識別子との間のマッピングは，このデータベース・ファイルに既存のマッピング・エントリが無い場合のみ作成されます。必要なマッピングが無い場合，以下のような状況で， OpenVMS ユーザ・アカウントとリソース識別子の自動作成とマッピングが発生します。

ユーザが正常に認証された後，HP CIFS Server は，そのユーザと，そのユーザがメンバーとなっているすべてのグループを， OpenVMS ユーザ名 (UIC) およびリソース識別子にマッピングしようとします。ドメイン・グループあるいは CIFS Server グループは，入れ子グループあるいは認証されたユーザが直接属するグループのどちらでも対応可能です。マッピングが存在しない場合，あるいは認証されたユーザが存在する場合 (かつ，このユーザが CIFS Server がメンバーとなっているドメイン・ユーザの場合) または信頼されたドメインのユーザが存在する場合， WINBIND は必要とされる OpenVMS ユーザ・アカウントを自動的に作成することができ，その後，その OpenVMS ユーザ名を認証されたユーザに割り当てます。
ファイルおよびディレクトリのセキュリティを設定する際，権限を付与するセキュリティ・プリンシパル(対象)が CIFS Server がメンバーとなっているドメインもしくは信頼されたドメインのユーザあるいはグローバル・グループの場合， WINBIND は必要な OpenVMS ユーザ名 (UIC) あるいはリソース識別子を作成し，ドメイン・ユーザあるいはグループ SID に割り当てることができます。
CIFS サーバーが PDC の場合，ワークステーションを CIFS ドメインに追加する際， OpenVMS ユーザ名が自動的に作成され，作成されたワークステーション・アカウントに割り当てられます。この場合，ワークステーション・アカウント名は OpenVMS ユーザの命名規則に準拠していなければなりません。

各 OpenVMS アカウントごとにユーザ名と UIC が必要です。 WINBIND は，HP CIFS Server 構成パラメータ idmap uid で指定された範囲から，新しいアカウントのユーザ名と UIC を取得します。この範囲の開始値および終了値は，ハイフンで区切られた整数で指定されます。次に例を示します。

idmap uid = 1000 - 2000

同様に，WINBIND は， HP CIFS Server 構成パラメータ idmap gid で指定された範囲から，名前と OpenVMS (POSIX グループ) リソース識別子の値を取得します。次に例を示します。

idmap gid = 1000 - 2000

以下の項では WINBIND がどのように自動処理を実行するかを説明しています。

7.4.1.1 自動マッピングが必要になる場合

HP CIFS Server は WINBIND を使用して，ドメイン(CIFS Server がメンバーとなっているドメインあるいは信頼されたドメイン) のグローバル・グループ名を OpenVMS リソース識別子にマッピングします。 WINBIND 機能は，ドメインのグローバル・グループに基づいてファイルおよびディレクトリに許可モードを設定する場合に便利です。
HP CIFS Server が PDC の場合，まず OpenVMS アカウントが存在していなければ， CIFS アカウント・データベースにコンピュータ・アカウントは作成できません。 WINBIND は，コンピュータがドメインに参加する際に，必要な OpenVMS アカウントと関連する CIFS アカウントを作成することができます。 WINBIND を使用しない場合，管理者は，コンピュータがドメインに参加する前に他の方法で OpenVMS アカウントが作成されていることを確認する必要があります。

7.4.1.2 自動マッピングが必要ない場合

以下の状況に当てはまる場合は，WINBIND による自動マッピングを使用する必要はありません。

HP CIFS Server に接続する際に HP CIFS Server がメンバーとなっているドメインあるいは信頼されているドメインに属するすべてのユーザは，明示的あるいは暗黙のどちらかの方法で OpenVMS ユーザ名にマッピングされます。
オブジェクトの許可リストに， (ローカル・ドメインあるいは信頼されるドメインのいずれにも) ドメイン・グローバル・グループが含まれていない。
HP CIFS Server が PDC の場合，ドメインに参加するシステムのコンピュータ・アカウントは，ドメインに参加しようとする前に作成されている。

ドメイン・グローバル・グループの許可モードを設定するには，以下のいずれかの方法を使用します。

ローカル・グループを表す OpenVMS リソース識別子を作成します。 SAMBA$ROOT:[BIN]SAMBA$MANAGE_CIFS.COM あるいは NET GROUPMAP ADD コマンドを使用して， CIFS ローカル・グループを作成し OpenVMS リソース識別子に割り当てます。 SAMBA$ROOT:[BIN]SAMBA$MANAGE_CIFS.COM あるいは NET [RPC | ADS] GROUP ADDMEM コマンドを使用して，ローカル・ドンメインあるいは信頼されるドメインのドメイン・グローバル・グループとドメイン・ユーザを追加するか，ローカルの CIFS ユーザとグループをグループ・メンバーとして追加します。ドメイン・グローバル・グループを CIFS Server ローカル・グループにメンバーとして追加する方法については， 8.3 項「グループの管理」を参照してください。
6.4 項「グループ・マッピングの別の方法」で説明する方法を使用して，CIFS ドメイン・ユーザに割り当てられた OpenVMS ユーザ名に OpenVMS リソース識別子を付与してください。

7.4.1.3 OpenVMS ユーザ・アカウントの作成とマッピング

WINBIND は，idmap uid の値を使用して新しいアカウントの OpenVMS ユーザ名と UIC を取得します。 uid の値は 16 進値に変換され，文字列 CIFS$ に追加されて， OpenVMS ユーザ名が導き出されます。この uic の値は 8 進に変換され，この 8 進値が UIC グループおよびメンバー番号として使用されます。




	注記: UIC グループ番号の最大値は 8 進で 37776 (すなわち，10 進で 16382) に制限されるため， `idmap uid` 値の範囲の上限は 16382 です。同様に，UIC グループ番号の 8 進 376 未満は HP がリザーブしているため， `idmap uid` の下限は 255 よりも小さくならないようにすることをお勧めします。例として，次のような HP CIFS Server 構成ファイル・パラメータについて説明します。 `idmap uid = 1000-2000` WINBIND はまず uid 1000 を割り当て，この値を 16 進 (3E8) および 8 進 (1750) に変換し，ユーザ名が CIFS$3E8 で UIC が [1750,1750] の OpenVMS アカウントを作成します。

WINBIND が作成したアカウントは対話型ログインが許可されておらず， NETMBX および TMPMBX 特権のみが付与されています。 OpenVMS アカウントが正常に作成されると，ユーザのドメイン・アカウント SID に割り当てられた uid (上記の例では 1000) のマッピング情報は，SAMBA$ROOT:[VAR.LOCKS]WINBINDD_IDMAP.TDB ファイルに保管されます。このファイルは，オブジェクトのセキュリティを維持するために重要なファイルなので，必要なマッピング情報の損失を避けるために定期的にバックアップを取る必要があります。

7.4.1.4 リソース識別子の作成とマッピング

WINBIND は idmap gid の次の整数値を使用して，OpenVMS リソース識別子 (グループ) の名前と値を導き出します。 idmap gid 値は 16 進値に変換され，リソース識別子に割り当てられる値として使用されるとともに，文字列 CIFS$GRP に追加され，これによりリソース識別子の名前が導き出されます。




	注記: WINBIND は POSIX のグループ・リソース識別子 (POSIX GID) を作成するため，最大値は %xFFFFFF あるいは %d16777215 に制限されます。下限は 1 です。 OpenVMS は，選択された値に自動的に %xA4000000 を加算します。値 1616777200 - 16777215 は HP CIFS Server が使用するためにリザーブされています。このため，idmap gid の範囲の上限が 167777199 を超えないようにします。

例として，次のようなパラメータを含む SMB.CONF について説明します。

idmap gid = 5000-10000

WINBIND まず GID 5000 を割り当て，CIFS$GRP1388 という名前の OpenVMS リソース識別子を作成します。

識別子が正常に作成されると，割り当てられた gid (5000) に対応するドメイン・グループ SID へのマッピングが SAMBA$ROOT:[VAR.LOCKS}WINBINDD_IDMAP.TDB に保管されます。オブジェクトのセキュリティを維持するのに必要なマッピングを失わないように，このファイルは定期的にバックアップを取ることが重要です。




	注記: `idmap uid` および `idmap gid` パラメータの上限値はこの範囲を超えて増やすことができますが，下限値は変更すべきではありません。たとえば，1000 - 2000 の範囲を 1000 - 3000 に変更して， WINBIND による割り当てのためにさらに 1000 uid を用意することができます。 WINBIND は，WINBIND ID マッピング・データベース・ファイルに現在のマッピング・エントリを残したまま，`idmap uid` の既存の範囲を自動的に調整します。これにより，既存のマッピング・エントリをもとに設定されたファイルとディレクトリの既存のセキュリティ設定は，維持されます。ユーザおよびグループのマッピング処理の流れについては，第6章「ユーザとグループのマッピング」を参照してください。

7.4.1.5 WINBIND で作成したユーザとグループの管理

WINBIND は，OpenVMS ユーザ名およびリソース識別子を作成する際， CIFS Server 構成ファイルの idmap uid および idmap gid パラメータで範囲指定された値を使用します。 WINBIND をこれらのいずれかの idmap 範囲を超えて実行すると， CIFS クライアント・ログ・ファイルにエラーが出力されます。クライアント・ログ・ファイルは，デフォルトでは SAMBA$ROOT:[VAR] ディレクトリに作成されます(作成場所は HP CIFS Server 構成ファイルの log file パラメータで指定されます)。

WINBIND で作成された OpenVMS ユーザ名とリソース識別子と，それらに対応するドメイン・ユーザおよびグループへのマッピングを表示するために，WBINFO ユーティリティが提供されています。 WBINFO ユーティリティは，以下のように実行することができます。

$ @SAMBA$ROOT:[BIN]SAMBA$DEFINE_COMMANDS.COM
$ WBINFO --hostusers-to-domainusers
$ WBINFO --hostgroups-to-domaingroups

--hostusers-to-domainusers オプションを指定すると， CIFS ドメイン・ユーザとそれらにマッピングされている OpenVMS ユーザ名が表示されます。 --hostgroups-to-domaingroups オプションを指定すると， CIFS ドメイン・グループとそれらにマッピングされている OpenVMS リソース識別子が表示されます。これらの 2 つのオプションは，割り当てられたユーザとグループを表示するためのオプションです。すべてのユーザおよびグループの表示には使用できません。

1 つの OpenVMS ユーザ名あるいはリソース識別子(グループ)とドメイン・ユーザあるいはグループのマッピングを確認するには，次のようなコマンドを実行します。

WBINFO --hostname-to-domainname=<OpenVMS-identifier>

<OpenVMS-identifier> には，OpenVMS ユーザ名かリソース識別名のどちらかを指定します。

7.4.2 入れ子グループのサポート

グループ内のグループは入れ子グループと呼ばれます。 WINBIND が提供する入れ子グループ機能を使用すると，以下のようなユーザおよびグループを CIFS ローカル・グループのメンバーとして追加できます。

CIFS Server がメンバーとなっているドメインに属するユーザおよびドメイン・グローバル・グループ
CIFS Server がメンバーとなっているドメインによって信頼されているドメインに属するユーザおよびドメイン・グローバル・グループ
CIFS Server が PDC あるいは BDC の場合，信頼されているドメインに属するユーザおよびドメイン・グローバル・グループ
CIFS サーバー・データベースのユーザおよびローカル・グループ

入れ子グループの機能により，CIFS ローカル・グループに基づいたファイル・セキュリティを確立することができます。自動マッピング機能が有効でない場合も， WINBIND は入れ子グループをサポートします。

7.5 WINBIND を無効にする

Linux/UNIX 版の Samba とは異なり，HP CIFS for OpenVMSでは，Windbind機能はSMBDプロセスに統合されています。そのため，独立したwinbindデーモン・プロセスは作成されません。

WINBIND機能はすべてのHP CIFS構成に必要なわけではありません。 CIFSをスタンドアロン・サーバーとして構成する場合は，winbindを構成し有効にすることは必須ではありません。 HP CIFSでwinbindを無効にするには，次の論理名を定義してください。

$ DEFINE/SYSTEM WINBINDD_DONT_ENV 1

SMB.CONFにidmap UIDおよびidmap GIDパラメータが含まれない場合もwinbindは無効となります。

7.6 WINBINDを使用したHP CIFS Serverの構成

winbind機能のサポートを使用するには，HP CIFS Serverのセットアップと構成を行う必要があります。

7.6.1 WINBINDの構成パラメータ

表 7-1 に，winbindの動作を制御するために使われる新しいグローバルパラメータを示します。これらのパラメータは，SAMBA$ROOT:[LIB]SMB.CONFファイルの[global]セクションに設定されます。詳細は，SMB.CONFマンページを参照してください。

表 7-1 windind関連のグローバルパラメータ

パラメータ	説明
`security`	`WINBIND`はWindowsドメイン認証を必要とします。 `security = domain` あるいは `security = ads`
`winbind separator`	この文字列型の変数には，ドメイン名とユーザ名のセパレータ(区切り文字)を指定します。例: `winbind separator = \`
`idmap uid`	この変数には，ドメインユーザのUID範囲を指定します。例: `idmap uid = 5000-6000`
`idmap gid`	この変数には，ドメイングループのGID範囲を指定します。例: `idmap gid = 5000-6000`
`idmap backend`	この文字列型の変数には，使用するidmapバックエンドのタイプを指定します。構文は次のようになります。 `idmap backend =` これがデフォルトで，ローカルなidmap tdbファイルが使用されます。 `idmap backend = ldap:ldap://<LDAP server name>[:389]` IDマッピングデータは，共通のLDAPディレクトリサーバー・バックエンドに格納されます。例: `idmap backend = ldap:ldap://ldapserverA.hp.com`
`winbind cache time`	この整変数は，Windows NTサーバーが再度照会する前に`winbind`がユーザおよびグループ情報をキャッシュする秒数を指定します。デフォルト値は300です。

7.6.1.1 SMB.CONFの例

SMB.CONFファイルの例を以下に示します。

[global] 
 # Doamin name 
 workgroup = DomainA 
 security = domain 

 # Winbindd section
 idmap uid = 5000-6000
 idmap gid = 5000-6000
 idmap backend = idmap_tdb
 winbind cache time = 300 
 winbind separator = \

7.7 LDAPバックエンドのサポート

複数のCIFS ServerがWindows NTまたはWindows ADSドメインに存在しており，これらがwinbindを使用する場合，複数のCIFS ServerがLDAPディレクトリにIDマップを格納するように構成できます。 LDAPサーバーを使用し，SMB.CONFでidmap backend パラメータを指定して CIFSサーバーを構成すると，すべてのUIDおよびGIDがドメイン内でユニークとなるように設定することができます。

7.8 wbinfoユーティリティ

wbinfoツールを使用すると，winbindから情報を取得できます。このツールについての詳細は11.1.2 項「wbinfo」を参照してください。