#osc15tk Samba4を「ふつうに」使おう！Samba4によるファイルサーバ構築テクニック

たかはしもとのぶ - monyo @damemonyo

Sambaセミナを開催します。ぜひお越しください | 2015-10-25 (日) 12:00～ Samba4を「ふつうに」使おう！Samba4によるファイルサーバ構築テクニック ospn.jp/osc2015-fall/m… #samba_jp

たかはしもとのぶ - monyo @damemonyo

Samba 4.3系列の新機能の、外部信頼を検証してみたです/[Samba]Samba 4.3系列でサポートされた外部信頼関係 damedame.monyo.com/?date=20151024… #samba_jp

Yoshikazu GOTO @goto_ipv6

たかはしもとのぶさんによる「Samba4を「ふつうに」使おう！Samba4によるファイルサーバ構築テクニック」です。 #osc15tk #samba_jp

Yoshikazu GOTO @goto_ipv6

たかはしさん：もくてき： ・対象となる方 →Sambaのインストールをした！ →ファイル共有はとりあえずできた！ →Active Directoryとか、使わないです #osc15tk #samba_jp

Yoshikazu GOTO @goto_ipv6

たかはしさん： あえて、今回、普通に使うっていう部分をお話したいと思っています。 ですので、ファイルサーバーとしてのテクニックを、1つずつお話していきたいと。 #osc15tk #samba_jp

Yoshikazu GOTO @goto_ipv6

たかはしさん：Sambaとは： ・廉価なNASの大半はSambaが入っていたりします。 #osc15tk #samba_jp

Yoshikazu GOTO @goto_ipv6

たかはしさん：Sambaのサポートポリシー： ・2つ前のリリースまでがサポート対象 ・約6ヶ月毎に新系列をリリース →最長で約18ヶ月サポート #osc15tk #samba_jp

Yoshikazu GOTO @goto_ipv6

たかはしさん：ファイアウォール（CentOS）： ・firewall-cmd --add-service=samba ・firewall-cmd --add-service=samba --permanent #osc15tk #samba_jp

Yoshikazu GOTO @goto_ipv6

たかはしさん：SELinux#1(CentOS)： ・ユーザーホーム機能を使う場合 →setsebool samba_enable_hoe_dirs_on #osc15tk #samba_jp

Yoshikazu GOTO @goto_ipv6

・ファイル共有するディレクトリにsamba_sahre_tラベルと付与 →chcom -t samba_share_t /some/where/shared #osc15tk #samba_jp

Yoshikazu GOTO @goto_ipv6

たかはしさん：SELinux#2（CentOS）： ・留意点 →Samba経由で自動実行するスクリプトは、必ず /var/lib/samba/scripts に配置 #osc15tk #samba_jp

Yoshikazu GOTO @goto_ipv6

たかはしさん：日本語環境： ・基本の設定 →dos charset = CP932 →unix charset = UTF-8 特に dos charset はこれにすることを推奨します。unix charset はデフォルトで UTF-8に #osc15tk #samba_jp

Yoshikazu GOTO @goto_ipv6

たかはしさん： ・日本語共有名、コメントなど →普通に使うことができます →設定ファイルには、unix charsetで指定した文字コードで書けばよいです #osc15tk #samba_jp

Yoshikazu GOTO @goto_ipv6

たかはしさん：ログの設定： ・ログレベル →log level →3 だとパフォーマンスに影響あり ・smbcontrol で動的に変更可能 →smbcontrol smbd debug 3 #osc15tk #samba_jp

Yoshikazu GOTO @goto_ipv6

・ログファイルは、デフォルト約50kBごとにローテーションされますが、適切に運用するには外部のログ管理機構都の連携が必須 #osc15tk #samba_jp

Yoshikazu GOTO @goto_ipv6

たかはしさん：インターフェースの制御： ・必要なI/F以外でSambaを起動しない →interfaces →bind interfaces only →socket address ※localhostは必ず通信できるようにしておく #osc15tk #samba_jp

Yoshikazu GOTO @goto_ipv6

たかはしさん：認証編： #osc15tk #samba_jp

Yoshikazu GOTO @goto_ipv6

たかはしさん：認証の基本概念： ・Linuxユーザーに対応してSambaユーザーを作成 →なぜ必要？ →→認証情報の形式がWindowsとLinuxとで異なっているから →→暗号化・ハッシュ化の形式 #osc15tk #samba_jp

Yoshikazu GOTO @goto_ipv6

たかはしさん：ゲスト認証： ・一定の要件を満たした場合、ユーザー名とパスワードにかかわらず、指定したユーザーとして認証する機能 #osc15tk #samba_jp

Yoshikazu GOTO @goto_ipv6

たかはしさん：Samba-Linux間のパスワード同期： ・Sambaの方を変えた場合 →unix password sync = yes →pam password change = yes #osc15tk #samba_jp

Yoshikazu GOTO @goto_ipv6

・Linuxの方を変えた場合 →pam_smbpassモジュールを使う →CentOS 7.0ではパッケージから削除されている →Samba本体からも削除される予定 #osc15tk #samba_jp

Yoshikazu GOTO @goto_ipv6

たかはしさん：Windowsからのパスワード変更： ・Windowsの標準I/Fから変更できる →表示されているユーザー名を、「コンピュータ名\ユーザ名」形式で上書きすると良い →→Windows 8ではこのI/Fが潰されている… #osc15tk #samba_jp

Yoshikazu GOTO @goto_ipv6

たかはしさん：複雑なパスワードの強制： ・check password script = /usr/local/sbin/chkpasswd.sh ←任意のスクリプトを指定 →組織などのポリシーに合わせたスクリプトを #osc15tk #samba_jp

Yoshikazu GOTO @goto_ipv6

・crackcheckコマンドが含まれている →要コンパイル #osc15tk #samba_jp

Yoshikazu GOTO @goto_ipv6

たかはしさん：ファイル共有アクセス制御編： #osc15tk #samba_jp