Novell OES Linux への Novell Samba のインストール

ここでは Novell Open Enterprise Server (OES11sp1) を使った Novell Samba の導入方法を説明します。

マニュアルはこちら
http://www.novell.com/documentation/oes11/

file_samba_cifs_lx.pdf に従い作業を行います。

こちらの方が詳しいかも
Installing and Configuring Samba on Open Enterprise Server 2

この文書も親切です
Troubleshooting Samba On Open Enterprise Server (OES)

-前提-
-
SUSE Linux 11 上に仮想ディスクを3台定義しました。一つは / パーティション、他は NSS ボリューム用と ext3 用です。

※ iManager と YaST2 の表示は英語にしています。iManager は初期設定画面で Japanese にローカライズすることができます。

- Novell Open Enterprise Server (OES11sp1) をインストールします。ここではいきなり全てをインストールせず、NTP などの設定を終わらせてから Novell OES コンポーネントを導入しました。 yast2 の Novell OES Configuration アイコンを実行し、 明示的に NSS と iManager を選択します。自動的に関連する eDirectory パッケージがインストールされます。

この時点では Novell Samba はインストールしていません。
a0056607_14551023.jpg


ユーザとグループを作りました。
a0056607_10501918.jpg


ユーザのホームディレクトリと、各グループの共有ディレクトリがあります。
a0056607_10521981.jpg


-インストール-

yast2 > OES Configuration

Novell Samba を選択すると LUM(Novell User Management) も同時にインストールされます。このコンポーネントは eDirectory と UNIX ユーザとを関連付けるコンポーネントです。

a0056607_110438.jpg

Accept > インストールが開始されます.


a0056607_1134137.jpg


Novell Samba を有効にするためには更に設定項目があります。 >  Novell Samba の行をクリックして Admin のパスワードをセットしてログイン。

デフォルトで "servername_W" が NetBios 名となります。他に Novell Samba のプロクシユーザの設定などの項目があります。サーバ名は NetBios の制限で最大15文字なので、はみ出した部分は削除する必要があります。
a0056607_132690.jpg


ここではそのまま Next > 前の画面に戻って Next, インストールが終わりました Finish.

Organization Unit (o=company) 直下に MyServerName-W.company オブジェクトが作成されます。このオブジェクトは任意の場所に作成できます。ポリシーにより、 O=company 直下に作らず、Ou=MyLocation.O=MyCompany などに作成することも検討します。
a0056607_11201757.jpg


もう一つ、サーバーコンテナに UNIX Workstation - MyServerName.system.tokyo.company オブジェクトが作成されます。

この時点で Client 側には MyServer_W の Samba サーバが表示されます。
a0056607_1132372.jpg


-ここからが難問、ユーザとパスワード-

LUM(Linux User Management) より利用する Linux ユーザを選択して追加します。
a0056607_11374458.jpg


ユーザを選択した後、ユーザが所属するグループを指定します。
ここでは新規に LinuxUsers というグループを作成していますが、既に存在する eDirectory のグループも選択することができます。
a0056607_11403998.jpg


Password > Password Policies > "Samba Default Password Policy" を確認し、
a0056607_11534066.jpg


このポリシーに適合させるユーザを指定します。
a0056607_11584090.jpg


このユニバーサルパスワードのポリシーは、「パスワードを忘れた時のリセット方法」「大文字小文字を区別する」「長さの制限」などさまざまな設定が行えます。
a0056607_1225718.jpg


例えば、グループを指定して「マル秘情報」にアクセスできるグループは厳しいパスワードを設定したり、一般的なオペレータであれば、3ヶ月に一度8文字以上のパスワードを設定するなどですね。

次に File Protocol > Samba より、サーバを選択肢、Samba のユーザを指定します。
a0056607_12810100.jpg

おっ、エラーが出てしまいました。

User_name_xxxx: Could not Samba enable the user for group, MyOes11-W-SambaUserGroup. Received an error when checking for a universal password. Error: Cannot continue because the user does not appear to have a universal password.

See help for possible causes.

と出てしまいました。

もう一度この文書で確認しましょう。この文書も親切です
Troubleshooting Samba On Open Enterprise Server (OES)

As an administrator you have the option of setting the password manually for individual users by going to Passwords and clicking on Set Universal Password, but it is not necessary. Once the policy has been assigned to a user or container, all the user(s) should have to do is to login though through NCP (example: Novell Client) or using LDAP (example: iManager) and it will automatically attempt to synchronize the eDirectory password to the Universal Password. If the Universal Password doesn't exist but the eDirectory password does exist, then they system will synchronize the two passwords to be the same as the eDirectory password. If the Universal Password does exist, but it doesn't match the eDirectory password or if the eDirectory password doesn't match the new policy assignment then the password will expire and the user will be prompted to enter in a new password.
Note: You will not be able to add any users to the Samba configuration until their Universal Password has been set.


ここに書かれていることを簡単に説明すると

- Administrator はユーザの Universal Password を明示的に設定できる。(初期値が必要)
- Universal Password が設定されていない場合、NCP か LDAP を使って変更(Novell Client で設定できる、逆に言えば Novell Client が必要)
- 設定されていない場合は eDirectory のパスワードと同期する。(これはこれで便利)
- Universal Password と eDirectory のパスワードが同期していない場合、お互いのポリシーが異なれば一致させることはできない。(非常に当たり前なこと、どんなシステムでも使えるパスワードポリシーを考慮すべきである)

と、こんなところです。

ということで、既に Novell Client でログインしたユーザを追加してみます。
a0056607_122189.jpg

無事 Samba ユーザとして登録できました。

ついでに Share タブで「共有フォルダ」を作ってみます。
a0056607_12261713.jpg

この「共有」は NSS ボリューム上にユーザからは Read Only で作成しました。従って Novell Samba で R/W の設定を行ってもユーザは書き込みができません。
a0056607_12312256.jpg

設定を変更した場合、 General Tab にある Restart リンクをクリックします。忘れやすいのでご注意ください。
a0056607_14295517.jpg


通常の Linux ファイルシステム上の Samba の共有も iManager から設定します。
a0056607_17161163.jpg


File Protocol > Samba > Share から NSS ボリュームに「共有」を設定した場合、 NSS で与えられたトラスティが適用されるため、[SRWCEFMA] のF権のないディレクトリは表示されません。
a0056607_13294921.jpg

表示されないのは Novell Samba 自体が表示を行わないからで、 /home を開いたときに「ズラーリ」と表示される各ユーザのホームディレクトリの参照のための余分なパケットロスもないということです。


-大変よくできました-

- パスワードの変更が容易である。
これは重要なことです。
a0056607_13392681.jpg

通常の samba であれば、 smbpasswd コマンドで定期的にパスワードを変更するよう「管理者は指導」できますが、強制はできません。何らかのUIを工夫している方もいらしゃるでしょう。パスワードの変更のルールは明文化できても強制させるためにはさまざまなテクニックが必要です。まして SSH で入ってコマンドで変更しろというのでは、まずユーザが自主的にパスワード管理を行うことはないと言って良いでしょう。

しかし、この機能は NCP 接続を要求された時に実施されることであって、Novell Samba が要求するところではないのが残念です。

-必要のないフォルダは見えなくてもよろしい
これも NSS ボリューム上に作成した Novell Samba の優れた点です。ユーザのアクセサビリティからも、見えても関係ないよというフォルダが見えないことは、余計な詮索もなく、非常に便利なことです。また、ディレクトリの一覧を取得する場合、CIFS の悪いマナーの一つである問い合わせのパケットが大幅に削減できます。

-右ボタンで共有設定
NCP で利用している場合、右ボタン > Novell 権限で容易に他人にアクセス権を設定できます。自分の作品を他人に「公開」するため、 chown や chmod などのコマンドを使う必要はありません。あくまでも NCP (Novell Client for Windows)の中での話しですが、NCP で設定した内容はそのまま Samba の利用者にも適用されます。

-ファイルの圧縮とシュレッディング
Novell Open Enterprise Server 上の NSS ボリュームには、ディスクのクォータ、ファイル圧縮、データシュレッディング(乱数での自動上書き)などの機能が備わっています。 ext3 などで作成したボリューム上でユーザの利用制限をかけたり、自動的に圧縮させるような機能は知りません。

-大変がっかりしました-

これは、Novell Samba の仕様というより CIFS と Windows の仕様そのものの問題でしょう。パスワードを変更するためには NCP (ポート 524) での接続が必要だということです。Novell Samba を使うことで eDirectory との連携、パスワード管理は容易になりますが、そもそも Samba のパスワードを管理するためのツールというもの自体が Windows にはありません。

ということで、多少の手間(と言っても難しいことではないのですが) Novell Client for Windows は必要なものです。しかし、 Novell Client for Windows を導入してしまえば、なぜそこまで Samba を使うのか、という理由が見つかりません。

考えられるケースとしては、通常は NCP 接続をしているユーザが、「持ち込みPC」を使って情報にアクセスできないこともない、というケースです。もちろんそれが許されるポリシーであることが前提です。

OES ファイルサーバーを Samba 主体で利用するべきではないと考えています。単純に「高価なだけの」Samba サーバーとなってしまいます。その「高性能さ」を生かしきることはできません。

もともと閉じた LAN 内での利用を前提とした CIFS と WAN を考慮した NCP (Novell Core Protocol) との違いもあり、CIFS での利用は限定的にすべきだと私は考えます。

--
システムはシンプルであるべきです。CIFS の効率の悪さは色々悪評が多く、WAN越しのアクセスが遅いとか、使い物にならないといった話はよく聞きます。仕方がないので高価なCIFSアクセラレータを導入してみたけど、100ユーザ程度でも全然効率は上がらず、諦めたというケースもよく聞きます。何しろ 「CIFS + 効率」で検索すると Cisco などの WAFS アプライアンス製品がずらりと紹介されるのもその証拠でしょうか。これらのアプライアンスも内部に故障しやすいキャッシュ用のHDDやSSDなどの「消耗品」を抱えている以上、「ファイルサーバー」そのものに近い存在です。サーバーの集約化を目的として逆にサーバーを増やしているのが、SIビジネスということです。

シンプルで使いやすいプロトコルを選ぶなら NCP (Port 524) を選ぶべきなのですが、残念ながら Windows やLinux では標準サポートされていません単純に Novell Client を導入し Port 524 の通信を行えば問題は解決できるのですが、どうもそういった動きはお客様にないようで残念です。


islandcenter.jp
[PR]
トラックバックURL : https://islandcnt.exblog.jp/tb/18601222
トラックバックする(会員専用) [ヘルプ]
※このブログはトラックバック承認制を適用しています。 ブログの持ち主が承認するまでトラックバックは表示されません。
by islandcenter | 2013-09-19 08:00 | OES Linux | Trackback | Comments(0)