22.7. Samba のセキュリティーモード
Samba には、共有レベル と ユーザー レベルの 2 つのタイプがあり、まとめて セキュリティーレベル として知られています 。共有レベルのセキュリティーは 1 つの方法でのみ実装できますが、ユーザーレベルのセキュリティーは 4 つの方法のいずれかで実装できます。セキュリティーレベルを実装するさまざまな方法は、セキュリティーモード と呼ばれ ます 。
22.7.1. ユーザーレベルのセキュリティー
ユーザーレベルのセキュリティーは Samba のデフォルト設定です。security = user ディレクティブが smb.conf ファイルにリストされていない場合でも、Samba により使用されます。サーバーがクライアントのユーザー名/パスワードを受け入れると、クライアントは各インスタンスにパスワードを指定せずに複数の共有をマウントできます。Samba は、セッションベースのユーザー名/パスワード要求を受け入れることもできます。クライアントは、ログオンごとに一意の UID を使用して、複数の認証コンテキストを維持します。
smb.conf では、ユーザーレベルのセキュリティーを設定する security = user ディレクティブは次のとおりです。
[GLOBAL] ... security = user ...
以下のセクションでは、ユーザーレベルのセキュリティーの他の実装を説明します。
22.7.1.1. ドメインセキュリティーモード(ユーザーレベルのセキュリティー)
ドメインセキュリティーモードでは、Samba サーバーにマシンアカウント(ドメインセキュリティー信頼アカウント)があり、すべての認証要求がドメインコントローラーに渡されます。smb.conf で以下のディレクティブを使用して、Samba サーバーがドメインメンバーサーバーに追加されます。
[GLOBAL] ... security = domain workgroup = MARKETING ...
22.7.1.2. Active Directory セキュリティーモード(ユーザーレベルのセキュリティー)
Active Directory 環境をお持ちの場合は、ドメインをネイティブの Active Directory メンバーとして参加させることができます。セキュリティーポリシーで NT 互換認証プロトコルの使用が制限されていても、Samba サーバーは Kerberos を使用して ADS に参加できます。Active Directory メンバーモードの Samba は、Kerberos チケットを受け入れることができます。
smb.conf では、以下のディレクティブによって Samba が Active Directory メンバーサーバーになります。
[GLOBAL] ... security = ADS realm = EXAMPLE.COM password server = kerberos.example.com ...
22.7.1.3. サーバーセキュリティーモード(ユーザーレベルのセキュリティー)
Samba がドメインメンバーサーバーとして機能できない場合、サーバーセキュリティーモードが使用されていました。
注記
セキュリティーの欠点が多数あるため、このモードを使用し ない ことを強く推奨します。
smb.conf では、次のディレクティブにより、Samba がサーバーセキュリティーモードで動作できるようになります。
[GLOBAL] ... encrypt passwords = Yes security = server password server = "NetBIOS_of_Domain_Controller" ...
