HP CIFS Server 3.0j リリースノートバージョン A.02.03.04

HP CIFS Server 3.0j リリースノートバー
ジョン A.02.03.04
HP-UX 11i v1、HP-UX 11i v2、HP-UX 11i v3
HP 部品番号: B8725-90135
2008 年 9 月
ご注意
1.
本書に記載した内容は、予告なしに変更することがあります。
2.
本書は内容について細心の注意をもって作成いたしましたが、万一ご不審な点や誤り、記載もれなど、お気付きの点がございましたら
当社までお知らせください。
3.
当社は、お客様の誤った操作に起因する損害については、責任を負いかねますのでご了承ください。
4.
当社では、本書に関して特殊目的に対する適合性、市場性などについては、一切の保証をいたしかねます。また、備品、性能などに関
連した損傷についても保証いたしかねます。
5.
当社提供外のソフトウェアの使用や信頼性についての責任は負いかねます。
6.
本書の内容の一部または全部を、無断でコピーしたり、他のプログラム言語に翻訳することは法律で禁止されています。
7.
本製品パッケージとして提供した本書や媒体は本製品用だけにお使いください。プログラムをコピーする場合はバックアップ用だけに
してください。プログラムをそのままの形で、あるいは変更を加えて第三者に販売することは固く禁じられています。
U.S. Government License
Confidential computer software. Valid license from HP required for possession, use or copying. Consistent with FAR 12.211 and 12.212, Commercial
Computer Software, Computer Software Documentation, and Technical Data for Commercial Items are licensed to the U.S. Government under
vendor's standard commercial license.
著作権
©Copyright 2008 Hewlett-Packard Development Company, L.P.
本書には著作権によって保護されている内容が含まれています。本書の内容の一部または全部を著作者の許諾なしに複製、改変、および翻訳
することは、著作権法下での許可事項を除き、禁止されています。
HP CIFS Server は Open Source Samba プロダクトを基にしており、GPL ライセンスに従って提供されます。
商標
UNIX は、The Open Group の登録商標です。
原典
本書は、『HP CIFS Server 3.0j Release Notes version A.02.03.04』(HP Part No. B8725-90134) を翻訳したものです。
目次
はじめに..................................................................................................................................................5
HP CIFS Server A.02.03.04 での変更点.............................................................................................5
製品リビジョン番号..........................................................................................................................5
HP CIFS Server A.02.03.04 での修正点...................................................................................................6
HP CIFS Server A.02.03.04 のインストール要件とパッチ要件..............................................................7
オペレーティングシステムの要件....................................................................................................7
HP CIFS Server のインストールの要件............................................................................................7
HP-UX のメモリーとディスクの要件...............................................................................................7
winbind のパッチ要件.......................................................................................................................7
Kerberos 製品とパッチ要件..............................................................................................................8
既知の問題と回避策..............................................................................................................................10
目次
3
表目次
1
2
3
4
HP-UX 11i v1 で winbind に必要なパッチ.....................................................................................8
HP-UX 11i v1 で Kerberos v5 Client に必要なパッチ.....................................................................8
HP-UX 11i v2 で Kerberos v5 Client に必要なパッチ.....................................................................9
表目次
はじめに
本書には、HP CIFS Server A.02.03.04 での不具合修正に関する情報、また、その他の役立つ情
報が記載されています。HP CIFS Server A.02.03.04 は、HP-UX 11i v1、11i v2、および 11i v3
でサポートされます。本リリースの変更点は以下のとおりです。
HP CIFS Server A.02.03.04 での変更点
•
HP CIFS Server A.02.03.04 は、Samba 3.0.22 と、3.0.25 での修正に基づいています。この
リリースは、Samba 3.0.30 での CVE-2008-1105 のセキュリティ修正およびいくつかの不具
合修正を含む、修正リリースです。「HP CIFS Server A.02.03.04 での修正点」 (6 ページ)
を参照してください。
警告! 当社では、当社から出荷した状態の HP CIFS Server バイナリしかサポートしません。
正式に HP CIFS Server バージョンをインストールするには、swinstall ユーティリティを使
用する必要があります。/opt/samba/bin サブディレクトリには、リビジョンが異なる HP
CIFS Server バイナリをシステム間でコピーしないでください。
製品リビジョン番号
HP CIFS Server の新しいバージョンは、製品リビジョン番号 (A.xx.xx.FF) で識別されます。新
しいバージョンは、新機能リリースと修正リリースのいずれかです。
新機能リリースには、新しい機能と新しいバージョンの Samba ソースが含まれています。基
本製品リビジョン番号 (A.xx.xx) が増加し、末尾の修正番号は使用されません。
修正リリースには、特定の不具合の解決に必要な変更のみが含まれます。基本製品リビジョン
番号 (A.xx.xx) は変更されず、末尾の修正番号 (.FF) のみが増加します。
はじめに
5
HP CIFS Server A.02.03.04 での修正点
HP CIFS Server A.02.03.04 では、以下の不具合が修正されました。
•
セキュリティ上の不具合 CVE-2008-1105: クライアントコードでのヒープオーバーフロー
の可能性
QXCR1000814745
特に SMB 応答を作成する際、ヒープオーバーフローの可能性があります。
•
CFSM を使用している際、共有違反エラーが起こる。
QXCR1000813571
この修正により、smbclient と CIFS File System Module (CFSM) を実行している際、共有
違反エラーが起こるという致命的な問題が解決されました。
6
HP CIFS Server A.02.03.04 のインストール要件とパッチ要件
オペレーティングシステムの要件
HP CIFS Server A.02.03.04 は、以下のオペレーティングシステムにインストールすることがで
きます。
•
•
•
HP 9000 コンピュータシステムの HP-UX 11i v1
HP 9000 コンピュータシステムまたは HP Integrity コンピュータシステムの HP-UX 11i v2
HP 9000 コンピュータシステムまたは HP Integrity コンピュータシステムの HP-UX 11i v3
HP CIFS Server のインストールの要件
HP CIFS Server を、HP-UX 11i v1 にインストールするには、約 67 MB のディスクスペースが
必要です。HP-UX 11i v2 または v3 にインストールするには、約 157 MB のディスクスペース
が必要です。HP CIFS Server は、以下のコンポーネントから構成されています。
HP-UX 11i v1 の場合
•
•
HP CIFS Server のソースコードファイル - 11.1 MB
HP CIFS Server のファイルサービスと印刷サービス -55.7 MB (内訳は以下のとおりです)
— CIFS ライブラリ — 2.4 MB
— コアプログラムとユーティリティ — 40 MB
— マンページとドキュメント — 1 MB
— SWAT 管理者ツール — 12.5 MB
HP-UX 11i v2、v3 の場合
•
•
HP CIFS Server のソースコードファイル - 11.1 MB
HP CIFS Server のファイルサービスと印刷サービス - 145 MB (内訳は以下のとおりです)
— CIFS ライブラリ — 6.5 MB
— コアプログラムとユーティリティ — 125 MB
— マンページとドキュメント — 1 MB
— SWAT 管理者ツール — 12.5 MB
HP-UX のメモリーとディスクの要件
32/64 ビット版の HP-UX 11i v1 システムは、64 MB のメモリーと、1GB のディスクスペースが
あれば、起動することができます。64 ビット版の HP-UX 11i v2 または v3 システムは、1 GB
のメモリーと、2 GB のディスクスペースがあれば、起動することができます。ただし、今後の
規模の増大と保守性を考慮して、メモリーとディスクスペースについては以下の最小要件を推
奨します。
•
•
•
32 ビット版の HP-UX 11i v1: 128MB のメモリー、1～2 GB のディスクスペース
64 ビット版の HP-UX 11i v1: 512MB のメモリー、2～3 GB のディスクスペース
64 ビット版の HP-UX 11i v2、v3: CPU ごとに 1 GB のメモリー、2～8.5 GB のディスクス
ペース
winbind のパッチ要件
HP-UX 11i v1 システムで winbind を使用する場合には、表 1 に示す依存パッチをインストー
ルする必要があります。これらのパッチをインストールするには、システムの再起動が必要に
なります。
HP CIFS Server A.02.03.04 のインストール要件とパッチ要件
7
表 1 HP-UX 11i v1 で winbind に必要なパッチ
パッチ番号
説明
PHCO_30402
libpam_unix cumulative patch
PHKL_30398
s700_800 11.11 KI FSS ID and KI_rfscall
PHNE_29883
ONC/NFS General Release/Performance patch
以上のパッチをインストールしていないと、/etc/nsswitch.conf に winbind エントリー
が構成されている場合に、HP-UX コマンドの passwd を使用してユーザーパスワードを変更
できなくなります。
Kerberos 製品とパッチ要件
HP CIFS Server と Windows 2003 ADS Domain Controller (DC) との統合をサポートするため
には、Kerberos v5 Client バージョン 1.3.5 以降が必要です。Kerberos Client バージョン 1.0
は、当初は HP-UX 11i v1 と v2 にバンドルされていました。Kerberos Client バージョン 1.3.5.03
は、HP-UX 11i v3 にバンドルされています。
HP-UX 11i v1/v2 での HP-UX Kerberos Client ソフトウェアの依存関係は以下のとおりです。
•
•
•
keytab ファイルのサポートには Kerberos Client バージョン 1.3.5 以降が必要です。
暗号化タイプ RC4-HMAC のサポートには Kerberos Client バージョン 1.3.5 以降が必要で
す。
Kerberos Client バージョン 1.3.5.03 には、Windows 2003 の Service Pack 1 が必要です。
Kerberos v5 Client (KRB5CLIENT) 製品は、次の Software Depot の Web サイトからダウンロー
ドできます。
http://www.hp.com/go/softwaredepot
このサイトで Search フィールドに KRB5CLIENT と入力して検索します。
HP-UX のパッチ要件
HP-UX 11i v1 の場合には、Kerberos v5 Client 製品を使用するときには、表 2 に示すパッチを
インストールする必要があります。
HP-UX 11i v2 の場合には、表 3 に示すパッチをインストールする必要があります。
HP-UX 11i v3 の場合には、必要なパッチはありません。
パッチは、以下の IT リソースセンター (ITRC) Web サイトのパッチとファームウェアのデータ
ベースからダウンロードすることができます。
http://itrc.hp.com
表 2 HP-UX 11i v1 で Kerberos v5 Client に必要なパッチ
パッチ番号
8
説明
PHCO_24400
libc cumulative patch
PHCO_24402
libc cumulative header file patch
PHNE_27796
libnsss_dns DNS backend patch
PHSS_29487
GSS-API version 1.0 cumulative patch
PHSS_33384
KRB5-Client version 1.0 cumulative patch
表 3 HP-UX 11i v2 で Kerberos v5 Client に必要なパッチ
パッチ番号
PHSS_33389
説明
KRB5-Client version 1.0 cumulative patch
HP CIFS Server A.02.03.04 のインストール要件とパッチ要件
9
既知の問題と回避策
以下に、HP CIFS Server A.02.03.04 に関する既知の問題と、適切な回避策がある場合には回避
策を示します。
問題
POSIX ACL では、シェアモードセキュリティが機能しない。
回避策
Microsoft のサーバーは、Windows NT ACL を使用している場合には、シェアモードセキュリ
ティをサポートしていません。現在回避策はありません。
問題
CIFS サーバーの共有ドライブに対して、DOS プロンプトから、2 バイト文字セットを用いた
ファイル名の中の 1 文字をワイルドカード文字に一致させようとしたときに、正しい結果が得
られない場合がある (たとえば、日本語 Shift-JIS の場合に、???? が、4 個の 2 バイト文字では
なく、2 個の 2 バイト文字に一致する)。
回避策
2 バイト文字 1 個に対して、?? を使ってください。たとえば、2 バイト文字が 4 個の場合に
は、???????? のように、ワイルドカードを 8 個使ってください。
問題
HP CIFS Server のドメインを変更した後、ログオンに時間がかかる。
回避策
実行環境での内部データベースの混在を避けるために、HP CIFS Server のドメインを変更する
前に、/var/opt/samba/private/secrets.tdb と /var/opt/samba/locks 内の.tdb
ファイルを削除してください。
問題
UNIX 拡張機能を使用したシンボリックリンクの作成で、絶対パスを指定するとシンボリック
リンクが作成できない。
回避策
シンボリックリンクを作成するディレクトリに移動し、相対パスを使ってシンボリックリンク
を作成してください。
問題
wins server オプションを smb.conf ファイル内に設定すると、SWAT ユーティリティで削
除できない。
回避策
smb.conf ファイルを編集して、wins server エントリーを削除してください。
問題
HP CIFS Server が起動されておらず、tdb ファイルも初期化されていないときに、root 以外の
ユーザーが smbstatus を実行すると、次のエラーが表示される。
"could not open file /var/opt/samba/locks/sessionid.tdb: No such files
or directory"
10
"Error: Failed to initialize locking database"
回避策
現在のバージョンの smbstatus では、通常のユーザーが tdb ファイルを初期化することは許
されていません。通常のユーザーは、root によって CIFS Server が起動されるか、または tdb
ファイルの初期化が完了した後で、smbstatus を実行してください。
問題
署名とシールのパッチがインストールされていない Windows XP システムから、smbpasswd
ファイルに保存されているパスワードを変更すると、変更に失敗し、ユーザーのパスワードが
破損する。
回避策
この場合は、管理者がパスワードを再設定する必要があります。
問題
複数のターミナルサーバークライアントを使って CIFS サーバー上のシェアにアクセスすると、
ターミナルサーバーのすべてのクライアントが単一の仮想接続を経由して接続し、CIFS サー
バー上で単一の SMBD プロセスによるサービスを受ける。このため、すべてのクライアントが
単一の SMBD プロセスを共有することになり、単一プロセスで開くことができるファイル数の
上限に達したり、ファイルロック数の上限に達したり、クライアントの性能が低下したりする
など、さまざまな問題が発生する可能性がある。
回避策
Windows NT の場合には、レジストリパラメータ MultipleUsersOnConnection に 1 を設
定し、それぞれのターミナルサーバークライアントにそれぞれの接続を強制的にネゴシエート
させることで、それぞれのクライアントが別々の SMBD プロセスからサービスを受けるように
することができます。Windows 2000 ターミナルサービスの場合には、Microsoft からホット
フィックス [文書番号 : 818528] が提供されています。このホットフィックスを適用し、
以下の値を設定します。
Subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxSmb\Parameters
Type:REG_DWORD
Entry: MultiUserEnabled
Value: 1
注記: このホットフィックス [文書番号 : 818528] は、Windows 2003 が動作しているシ
ステムにはインストールしないでください。このホットフィックスを適用できるのは、Windows
2000 だけです。
このホットフィックスについての詳細は、Web サイト
http://support.microsoft.com/kb/818528/ja にある [文書番号 : 818528] の資料を参
照してください。
問題
Samba でマウントされたディスクボリュームに Excel ファイルを保存すると、"The file may
have been changed"というエラーメッセージが表示される。このエラーメッセージが出力
されたとき、「コピーを保存する」と「変更を上書きする」のいずれかを選択する必要があ
る。
既知の問題と回避策
11
回避策
プロンプトが表示されたら、「変更を上書きする」を選択してください。選択しない場合に
は、ファイルは別名で保存する必要があります。
このエラーが出力されないようにするには、レジストリを変更します。レジストリを変更する
と、Web サイト http://support.microsoft.com/default.aspx?kbid=324491 にあ
る Microsoft Knowledge Base 資料に記載されているとおりに、この問題を解決することができ
ます。
Samba コミュニティもこの問題を認識し、Web サイト
https://bugzilla.samba.org/show_bug.cgi?id=1094 にある Bugzilla で、詳しく説
明しています。
問題
Windows のセキュリティ要件が厳しくなっているため、ローミングプロファイル用に適切な
権限が構成されていないと、プロファイルの格納に失敗することがある。
回避策
ユーザープロファイルファイル用に使われるプロファイルシェアに対して、profile acls
= yes を設定します。通常のシェアでは、シェア上に作成されるファイルの所有権が不正なも
のとなるため、profile acls = yes を設定しないでください。
問題
64 ビットの Windows XP クライアントでは、smb.conf に security=server パラメータ
が構成されている場合には、HP CIFS Server に接続できない。他の Windows クライアントで
も、64 ビットの Windows XP クライアントでデフォルトで設定されているように、LAN
Manager のローカルポリシーとして Send NTLM response only が設定されている場合に
は、接続に失敗することがある。
回避策
[管理ツール] を使い、接続に失敗する各クライアントで以下の操作を行います。
1.
2.
3.
4.
5.
[ローカルセキュリティポリシー] を選択します。
[ローカルポリシー] を選択します。
[セキュリティオプション] を選択します。
[ネットワークセキュリティ: Lan Manager 認証レベル] を選択します。
[LM と NTLM 応答を送信する] または [LM と NTLM を送信する - ネゴシエーションの
場合、NTLMv2 セッションセキュリティを使う] を設定します。
問題
新たにインストールした HP CIFS Server に、smbpasswd コマンドを使って Samba ユーザー
を最初に追加する場合に、紛らわしいメッセージをコマンドが表示することがある。例を次に
示します。
./smbpasswd -a user1
New SMB password:
Retype new SMB password:
紛らわしいメッセージが以下のように表示されます。
startsmbfilepwent_internal: file /var/opt/samba/private/smbpasswd did not exist.
File successfully created.
account_policy_get: tdb_fetch_uint32 failed for field 1
(min password length), returning 0
account_policy_get: tdb_fetch_uint32 failed for field 2
12
(password history), returning 0
account_policy_get: tdb_fetch_uint32 failed for
(user must logon to change password), returning
account_policy_get: tdb_fetch_uint32 failed for
(maximum password age), returning 0
account_policy_get: tdb_fetch_uint32 failed for
(minimum password age), returning 0
account_policy_get: tdb_fetch_uint32 failed for
(lockout duration), returning 0
account_policy_get: tdb_fetch_uint32 failed for
(reset count minutes), returning 0
account_policy_get: tdb_fetch_uint32 failed for
(bad lockout attempt), returning 0
account_policy_get: tdb_fetch_uint32 failed for
(disconnect time), returning 0
account_policy_get: tdb_fetch_uint32 failed for
(refuse machine password change), returning 0
Added user user1
field 3
0
field 4
field 5
field 6
field 7
field 8
field 9
field 10
ユーザーは正しく追加されています。また、このような紛らわしいメッセージが表示されるの
は、新しい Samba ユーザーを最初に追加するときだけです。
回避策
ユーザーが正しく追加されていることを確認し、これらのメッセージは無視してください。
問題
64 ビットの Windows XP クライアントでは、新しい ACE を追加することができない。Windows
XP Professional 64-Bit Edition の Windows Explorer の [ファイル-> プロパティ-> セキュリ
ティ] インタフェースを使って、ファイルまたはディレクトリに ACE を追加すると、次のよう
なエラーが表示される。
This program cannot open the required dialog box because the specified
computer <samba servername> cannot be determined to belong to a domain.
Try again.
回避策
現在、回避策はありません。
問題
HP CIFS Server は、いくつかの Windows 2000/2003 ドメインの信頼 (フォレスト内/フォレス
ト間信頼など) を認識できない。
回避策
HP CIFS Member Server が、フォレスト内に提示されたフォレスト内/フォレスト間信頼に対
応する必要がある場合には、ショートカットの信頼を明示的に作成する必要があります。HP
CIFS PDC は、Samba と Windows のドメイン間の信頼関係をサポートするのに十分な外部信
頼をサポートしています。Windows 2000/2003 の信頼についての詳細は、http://
technet.microsoft.com にある MS TechNet のペーパーを参照してください。
問題
既存の POSIX マシンアカウントは、対応する samba マシンアカウントと、HP CIFS Server の
マシンアカウント認証に必要な sambaSamAccount 情報を追加する前に登録済みである必要
がある。useradd コマンドを使用して、末尾に “$” 記号を付加した POSIX マシンアカウント
を /etc/passwd ファイルに追加すると、HP CIFS Server にマシンアカウントとして認識させ
ることができる。そのため、pwck コマンドを実行すると次のようなエラーが表示される。
1 Bad character(s) in logname
既知の問題と回避策
13
回避策
現在回避策はありません。
問題
useradd コマンドを使用して、末尾に “$” 記号を付加した POSIX マシンアカウントを /etc/
passwd ファイルに追加すると、HP CIFS Server にマシンアカウントとして認識させることが
できる。pwck コマンドでは次のようなエラーが表示される。
Login directory not found
上記のエラーはホームディレクトリが存在していないことを示しています。
回避策
POSIX マシンアカウントを追加する場合には、useradd に"-m"オプションを指定します。新
しいアカウントのホームディレクトリが存在していなかった場合には作成されます。
問題
ディレクトリから多数のファイルを削除しようとすると時間がかかる
回避策
1 つの回避策は、削除操作が開始されたら Windows Explorer を閉じます。A.02.03.01 から、
別の回避策が追加されました。smb.conf の"change notify timeout"パラメータに 0 を設
定します。0 を設定すると、変更通知メッセージは送信されず、したがって長い遅延も発生し
ません。クライアントはウィンドウを更新 ([F5] を押す) して、ファイルシェア内の変化を表示
させる必要があります。A.02.03.01 から、"change notify timeout"パラメータは、グロー
バルレベルパラメータからシェアレベルパラメータに変わりました。
14

Download Report