1 Oracle ZFS Storage Appliance の概要
SMB の Microsoft スタンドアロン DFS 名前空間管理ツールのサポートマトリックス
NDMP の「dump」および「tar」を使用したバックアップ
Active Directory のドメインとワークグループ
Active Directory の Windows Server 2012 でのサポート
Active Directory の Windows Server 2008 でのサポート
Active Directory の Windows Server 2008 でのサポートのセクション A: Kerberos の問題 (KB951191)
Active Directory の Windows Server 2008 でのサポートのセクション B: NTLMv2 の問題 (KB957441)
Active Directory の Windows Server 2008 でのサポートのセクション C: NTLMv2 に関する注意点
BUI を使用した Active Directory の構成
CLI を使用した Active Directory の構成
例 - CLI を使用した Active Directory の構成
SMB サービスでは、アイデンティティーマッピングサービスを使用して Windows と UNIX の ID を関連付けます。SMB サービスでは、ユーザーを認証するときに、アイデンティティーマッピングサービスを使用してユーザーの Windows ID を適切な UNIX ID にマップします。Windows ユーザーに対する UNIX ID が存在しない場合は、一時的な UID と GID を使用して一時的な ID が生成されます。これらのマッピングにより、SMB および NFS クライアントは同時に同じシェアをエクスポートしたり、同じシェアにアクセスしたりできます。Windows ID と UNIX ID を関連付けることで、NFS および SMB クライアントは同じ ID をシェアできるため、同じファイルセットにアクセスできるようになります。
Windows オペレーティングシステムでは、アクセストークンの中にログインセッションに関するセキュリティー情報が含まれており、アクセストークンによってユーザー、ユーザーのグループ、およびユーザーの権限が識別されます。管理者は、Windows ユーザーおよびグループをワークグループ内に定義するか、または Active Directory ドメインコントローラで管理される SAM データベース内に定義します。各ユーザーおよびグループには SID が割り当てられます。SID は、ホストとローカルドメイン内、および考えられるすべての Windows ドメインにわたってユーザーまたはグループを一意に識別します。
UNIX では、ユーザー認証とファイルアクセス権に基づいてユーザー資格を作成します。管理者は、UNIX ユーザーおよびグループをローカルパスワードおよびグループファイル内に定義するか、または NIS や LDAP などのネームサービスまたはディレクトリサービス内に定義します。各 UNIX ユーザーおよびグループには UID と GID が割り当てられます。通常、UID または GID は 1 つの UNIX ドメイン内のユーザーまたはグループを一意に識別します。ただし、これらの値は複数のドメインにわたって一意ではありません。
Windows 名は大文字小文字を区別しませんが、UNIX 名は大文字小文字を区別します。ユーザー名 JSMITH、JSmith、および jsmith は、Windows では同じ名前ですが、UNIX では 3 つの異なる名前になります。大文字小文字の区別が名前マッピングに与える影響はマッピングの方向によって異なります。
Windows から UNIX へのマッピングで一致とみなされる場合、Windows ユーザー名の大文字小文字が UNIX ユーザー名のそれに一致している必要があります。たとえば、Windows ユーザー名「jsmith」は UNIX ユーザー名「jsmith」のみに一致します。Windows ユーザー名「Jsmith」は一致しません。
Windows から UNIX へのマッピングの大文字小文字の一致要件の例外が発生するのは、マッピングでワイルドカード文字「*」を使用して複数のユーザー名をマップする場合です。アイデンティティーマッピングサービスで、Windows ユーザー *@some.domain を UNIX ユーザー「*」に対応付けるマッピングが検出された場合、最初にそのままの Windows 名に一致する UNIX 名が検索されます。一致するものが見つからない場合、Windows 名全体が小文字に変換されて、再度一致する UNIX 名が検索されます。たとえば、Windows ユーザー名「JSmith@some.domain」は UNIX ユーザー名「jsmith」に対応付けられます。Windows ユーザー名を小文字にしたあとも一致するものが見つからない場合、ユーザーはマッピングを得られません。大文字小文字だけが異なる文字列を一致させる規則を作成できます。たとえば、Windows ユーザー「JSmith@sun.com」を UNIX ユーザー「jSmith」に対応付けるユーザー固有のマッピングを作成できます。それ以外では、サービスによって一時的な ID が Windows ユーザーに割り当てられます。
UNIX から Windows へのマッピングで一致とみなされる場合、大文字小文字が一致している必要はありません。たとえば、UNIX ユーザー名「jsmith」は、大文字小文字に関係なく「JSMITH」という文字を含むすべての Windows ユーザー名に一致します。
アイデンティティーマッピングサービスが名前マッピングを提供する場合、マッピングは 10 分間保存され、10 分たった時点で期限切れとなります。マッピングの 10 分間の有効期間内は、アイデンティティーマッピングサービスの再起動後もマッピングは維持されます。マッピングが期限切れになったあとで SMB サーバーがユーザーにそのマッピングをリクエストすると、サービスによってそのマッピングが再評価されます。
マッピングやネームサービスディレクトリを変更しても、マッピングの 10 分間の有効期間内は既存の接続に影響しません。サービスによってマッピングが評価されるのは、クライアントがシェアへの接続を試みる場合と期限切れでないマッピングが存在しない場合のみです。
ドメイン全体のマッピング規則では、Windows ドメインの名前の一部またはすべてを UNIX 名に一致させます。双方のユーザー名は正確に一致する必要があります。ただし、大文字小文字の区別による競合は例外で、これは前述の規則に従います。たとえば、「myDomain.com」のすべての Windows ユーザーを同じ名前の UNIX ユーザーに一致させ、すべての UNIX ユーザーを同じ名前の Windows ユーザーに一致させる双方向の規則を作成できます。別の例では、「myDomain.com」のグループ「Engineering」のすべての Windows ユーザーを同じ名前の UNIX ユーザーにマップする規則を作成できます。ほかのマッピングと競合するドメイン全体のマッピングを作成することはできません。
特定のユーザーに適用される名前ベースのマッピング規則がない場合、拒否マッピングによってブロックされないかぎり、そのユーザーには一時的なマッピングを通じて一時的な資格が付与されます。一時的な UNIX 名を持つ Windows ユーザーがシステム上にファイルを作成すると、SMB を使用してそのファイルにアクセスする Windows クライアントは、ファイルがその Windows ID によって所有されていると認識します。しかし、NFS クライアントは「nobody」によって所有されていると認識します。