HP CIFS Client インストールと管理 バージョン A.02.02 HP-UX 11i v1 および v2 Manufacturing Part Number : B8724-90089 2006 年 4 月 © Copyright 2006 Hewlett-Packard Development Company, L.P. ご注意 1. 本書に記載した内容は、予告なしに変更することがあります。 2. 本書は内容について細心の注意をもって作成いたしましたが、万一ご不審な点や誤り、記載 もれなど、お気付きの点がございましたら当社までお知らせください。 3. 当社は、お客様の誤った操作に起因する損害については、責任を負いかねますのでご了承く ださい。 4. 当社では、本書に関して特殊目的に対する適合性、市場性などについては、一切の保証をい たしかねます。また、備品、性能などに関連した損傷についても保証いたしかねます。 5. 当社提供外のソフトウェアの使用や信頼性についての責任は負いかねます。 6. 本書の内容の一部または全部を、無断でコピーしたり、他のプログラム言語に翻訳すること は法律で禁止されています。 7. 本製品パッケージとして提供した本書や媒体は本製品用だけにお使いください。プログラム をコピーする場合はバックアップ用だけにしてください。プログラムをそのままの形で、あ るいは変更を加えて第三者に販売することは固く禁じられています。 U.S. Government License Confidential computer software. Valid license from HP required for possession, use or copying. Consistent with FAR 12.211 and 12.212, Commercial Computer Software, Computer Software Documentation, and Technical Data for Commercial Items are licensed to the U.S. Government under vendor's standard commercial license. PAM NTLM には、Open Source Samba プロダクトを基にしたライブラリが含まれています。 このライブラリは、GPL ライセンスに従って提供されます。 著作権 Copyright © 2006 Hewlett-Packard Development Company, L.P. 本書には著作権によって保護される内容が含まれています。本書の内容の一部または全部を著作 者の許諾なしに複製、改変、および翻訳することは、著作権法下での許可事項を除き、禁止され ています。 商標 UNIX® は、米国ならびにその他の国における The Open Group の登録商標であり、The Open Group から独占的にライセンスされます。 2 納入後の保証について • 保証の期間は、ご購入時に当社よりお出しした見積書に記載された期間とします。保証サー ビスは、当社の定める休日を除く月曜日から金曜日までの、午前 8 時 45 分から午後 5 時 30 分の範囲で無料で行います。当社で定めたシステム製品については出張修理を行い、その他 の製品については当社にご返却いただいた上での引取り修理となります。当社が定める地域 以外における出張修理対象製品の修理は、保証期間中においても技術者派遣費が有料となり ます。 • ソフトウェア製品の保証は上記にかかわらず、下記に定める範囲とさせていただきます。 — ソフトウェア製品およびマニュアルは当社が供給した媒体物の破損、資料の落丁および プログラムインストラクションが実行できない場合のみ保証いたします。 — バグおよび前記以外の問題の解決は、別に締結するソフトウェアサポート契約に基づい て実施されます。 • 次のような場合には、保証期間内でも修理が有料となります。 — 取扱説明書等に記載されている保証対象外部品の故障の場合。 — 当社が供給していないソフトウェア、ハードウェア、または補用品の使用による故障の場合。 — お客様の不適当または不十分な保守による故障の場合。 — 当社が認めていない改造、酷使、誤使用または誤操作による故障の場合。 — 納入後の移設が不適切であったための故障または損傷の場合。 — 指定外の電源 ( 電圧、周波数 ) 使用または電源の異常による故障の場合。 — 当社が定めた設置場所基準に適合しない場所での使用、および設置場所の不適当な保守 による故障の場合。 — 火災、地震、風水害、落雷、騒動、暴動、戦争行為、放射能汚染、およびその他天災地 変等の不可抗力的事故による故障の場合。 • 当社で取り扱う製品は、ご需要先の特定目的に関する整合性の保証はいたしかねます。ま た、そこから生じる直接的、間接的損害に対しても責任を負いかねます。 • 当社で取り扱う製品を組み込みあるいは転売される場合は、最終需要先における直接的、間 接的損害に対しては責任を負いかねます。 • 製品の保守、修理用部品の供給期間は、その製品の製造中止後 5 年間とさせていただきます。 本製品の修理については取扱説明書に記載されている最寄の事業所へお問い合わせください。 3 4 目次 1. HP CIFS Client の紹介 HP CIFS の紹介 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . CIFS プロトコルとは. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HP CIFS Client の説明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HP CIFS Client の特長. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . UNIX 対応 CIFS 拡張機能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NTLM PAM の統合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kerberos 認証 : システム Kerberos キャッシュとの統合 . . . . . . . . . . . . . . . . . . . . . . . HP CIFS Client 向け AutoFS 2.3 サポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ローカライズされたクライアントのサポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NTLM と NTLMv2 のパスワード暗号化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . パケット署名 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NetBIOS ネームサービス、WINS、DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Microsoft Distributed File System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 17 19 20 20 21 21 21 22 22 22 23 23 ダイナミックロード可能カーネルモジュール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 SMB over TCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 2. HP CIFS Client のインストール、設定、使用 HP CIFS Client のインストールと設定の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 手順 1: HP CIFS Client のインストールに必要な条件の確認 . . . . . . . . . . . . . . . . . . . . . 手順 2: HP CIFS Client ソフトウェアと PAM ソフトウェアのインストール . . . . . . . . . CD からのインストール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ソフトウェアデポファイルからのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 手順 3: HP CIFS Client の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cifsclient.cfg の編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 手順 4: HP CIFS Client デーモンの起動と停止 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HP CIFS Client の使い方 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . マウントとログインを 1 回の操作で実行する方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . CIFS Client のログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . CIFS ファイルシステムの自動マウント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . /etc/fstab の使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . CIFS Client マウントデータベースにマウントを格納する方法 . . . . . . . . . . . . . . . . . . 名前解決 : NetBIOS ネームサービス、WINS、DNS、IP の設定 . . . . . . . . . . . . . . . . . . HP CIFS Client のファイルとディレクトリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 29 30 30 30 31 31 33 34 37 38 39 39 39 40 42 3. CIFS のセキュリティと認証 はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 認証方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 5 目次 認証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ユーザーログイン手順. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kerberos の紹介 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kerberos の要件と制限事項. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HP CIFS Client での Kerberos の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 手順 1. 基本的な Kerberos の動作原理を確認する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 手順 2. Kerberos インフラストラクチャをセットアップして検証する. . . . . . . . . . . . . 手順 3. HP CIFS Client に Kerberos を設定する方法 . . . . . . . . . . . . . . . . . . . . . . . . . CIFS Client Kerberos 認証ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 明示的なログイン : cifslogin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 自動ログイン : システム Kerberos キャッシュ (kinit(1) および PAM Kerberos との 統合 ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . チケットの有効期限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . パケット署名 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HP CIFS Client にパケット署名を設定する方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 48 50 50 51 51 52 53 54 54 54 54 55 55 4. HP CIFS Client を A.01 から A.02 に移行する方法 HP CIFS Client をバージョン A.01.* から A.02.* に移行する方法 . . . . . . . . . . . . . . . . HP CIFS Client バージョン A.01.* ユーザー向けの特記事項 . . . . . . . . . . . . . . . . . . . A.01 でインストールしたデータを保存する方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . バージョン A.01 にダウングレードする方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HP CIFS Client A.01.* と A.02.* での機能の違い. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HP CIFS Client A.01.* と A.02.* での設定の違い. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 設定ファイルのコメント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 設定パラメータの違い . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HP CIFS Client A.01.* と A.02.* でのコマンドオプションの違い . . . . . . . . . . . . . . . . . 57 57 58 59 60 61 61 61 64 5. コマンド行ユーティリティ cifsclient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 構文 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 説明 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . コマンド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cifsmount . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 68 68 70 70 71 構文 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 説明 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 6 目次 例 .................................................................. ファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cifslogin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 73 73 74 構文 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 説明 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 例 .................................................................. ファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cifsumount . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 74 74 76 76 76 77 構文 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 説明 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cifslogout. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 77 77 77 78 構文 説明 参照 cifslist ................................................................ ................................................................ ................................................................ ................................................................ 78 78 78 79 構文 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 説明 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cifslist の出力例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cifsdb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 79 79 79 82 構文 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 説明 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . mount_cifs、umount_cifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 構文 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 説明 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 参照 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 82 83 83 83 84 84 84 85 86 86 6. トラブルシューティングとエラーメッセージ 7 目次 トラブルシューティングに関する FAQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cifsclient stop を使用したデーモンのシャットダウン方法 . . . . . . . . . . . . . . . . . . . . . . デーモンが終了した場合に実行するべきこと . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HP CIFS Client で Kerberos をトラブルシューティングする方法 . . . . . . . . . . . . . . . . . HP CIFS Client での cifsmount または mount のトラブルシューティング . . . . . . . . . . HP CIFS Client DLKM が使用されていない場合の対処方法 . . . . . . . . . . . . . . . . . . . "device busy" というエラーメッセージが表示された場合の対処方法 . . . . . . . . . . . . . CIFS Client のログファイルとログレベル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 87 87 88 89 89 90 91 7. 設定ファイル 一般的な構造 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 設定変数 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 8. PAM NTLM はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 PAM NTLM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 PAM NTLM の特長 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ユーザーマップファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PAM NTLM の設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PAM NTLM モジュールの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ユーザーマップファイルの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NIS によるユーザーマップファイルの配布. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 121 122 122 127 127 索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 8 表一覧 表 2-1. HP CIFS Client のファイルとディレクトリ 表 3-1. smbPacketSigning 用の設定オプション . . . 表 4-1. パラメータ名の変更 . . . . . . . . . . . . . . . . . . 表 4-2. cifsmount . . . . . . . . . . . . . . . . . . . . . . . . . 表 4-3. mount_cifs . . . . . . . . . . . . . . . . . . . . . . . . 表 4-4. cifslist . . . . . . . . . . . . . . . . . . . . . . . . . . . 表 4-5. cifslogin . . . . . . . . . . . . . . . . . . . . . . . . . . 表 4-6. cifsdb . . . . . . . . . . . . . . . . . . . . . . . . . . . . 表 7-1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 表 8-1. PAM NTLM の構成のサンプルファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .61 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .66 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .66 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .111 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .122 9 表一覧 10 図一覧 図 8-1. PAM の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .120 11 図一覧 12 まえがき : このマニュアルについて このマニュアルの最新バージョンは、次の Web サイトで入手できます。 http://docs.hp.com ( 英語 ) http://docs.hp.com/ja ( 日本語 ) このマニュアルでは、HP-UX プラットフォームでの HP CIFS Client のインストール、構成、 トラブルシューティングの方法を説明します。 マニュアルの出版の日付および部品番号は、現在の版を示します。出版の日付は、最新版ができ るたびに変更します。内容の小さな変更に対しては、増刷の際に対応し、出版日の変更は行いま せん。マニュアルの部品番号は、改訂が行われるたびに変更します。 版と版の間で、記載内容の訂正またはドキュメント製品の変更のためにマニュアルを更新する場 合があります。お手元のマニュアルが最新のものであることを確実にするには、該当製品のサ ポートサービスを利用される必要があります。詳細は、日本 HP の営業担当者にお問い合わせく ださい。 対象読者 このマニュアルに記載されている情報は、HP CIFS Client のインストール、構成、管理を担当 するシステム管理者やネットワーク管理者を対象としています。管理者は、HP CIFS Client 製 品についての知識があることを前提としています。 この版の追加点と変更点 CIFS Client Dynamically Loadable Kernel Module (DLKM) のサポートに関する情報を追加し ました。 Microsoft Distribution File System (MS DFS) のサポートに関する情報を追加しました。 CIFS Client の構成パラメータと、コマンドオプションに関する情報を更新しました。 ポート番号 445 を使った、SMB over TCP のサポートに関する情報を追加しました。 出版履歴 • 2001 年 6 月 第 1 版、B8724-90011 ( 英語版のみ ) HP-UX 11.0 および 11i v1 上のバージョン A.01.06 用 13 • 2002 年 7 月第 2 版、B8724-90034 ( 英語版 : B8724-90022 ) HP-UX 11.0、11i v1 および v1.6 上のバージョン A.01.08 用 • 2003 年 8 月 第 3 版、B8724-90053 ( 英語版 : B8724-90044 ) HP-UX 11i v1 および v2 上のバージョン A.01.09 用 • 2005 年 4 月 第 4 版、B8724-90073 ( 英語版 : B8724-90067 ) HP-UX 11i v1 および v2 上のバージョン A.02.01 用 • 2006 年 4 月 第 5 版、B8724-90089 ( 英語版 : B8724-90079 ) HP-UX 11i v1 および v2 上のバージョン A.02.02 用 原典 本書は、 『HP CIFS Client A.02.02 Administrator's Guide HP-UX 11i vi and v2』(B8724-90079) を翻訳し たものです。 14 表記規約 本書では、次の表記規約を使用します。 audit (5) HP-UX マンページ。audit はマンページ名で、5 は HP-UX リファレンスのセ クション番号です。Web や Instant Information メディアでは、そのマンペー ジへのリンクになっていることがあります。HP-UX コマンド行からマンペー ジを表示するには、“man audit” か、“man 5 audit” と入力します。 『マニュアル名』 マニュアルの名前です。Web や Instant Information メディアでは、そのマ ニュアルへのリンクになっていることがあります。 KeyCap キーボードのキーの名前です。なお、Return キーと Enter キーは同じキーであ ることに注意してください。 強調 強調したいテキスト文字列を示します。 強調 特に強く強調したいテキスト文字列です。 用語 重要語句を明示します。 ComputerOut コンピュータが表示するテキスト文字列です。 UserInput 入力するコマンドなどのテキスト文字列を示します。 Command コマンド名か修飾子付きコマンド名を示します。 Variable コマンドや関数、情報内で、とりうる値の 1 つに置き換えられることを示す変 数の名前です。 [] 形式やコマンドの説明でオプションの内容を示します。内容が "|" で区切られ ているときには その項目の 1 つを選ぶことができます。 {} 形式やコマンドの説明で必須の内容を示します。内容が "|" で区切られている ときには その項目の 1 つを選ぶ必要があります。 ... 前にある要素を任意の回数だけ繰り返すことを示します。 | 選択リスト内の項目の区切りを示します。 15 このマニュアルの内容 このマニュアルでは、HP CIFS Client ソフトウェア製品のインストール、設定、およびトラブ ルシューティングの方法について説明しています。 このマニュアルは、以下のような構成になっています。 第1章 「HP CIFS Client の紹介」: HP CIFS Client 製品の特長、要件、制限事項に ついて説明します。 第2章 「HP CIFS Client のインストール、設定、使用」: HP CIFS Client ソフト ウェアのインストール、構成、使用の方法を説明します。 第3章 「CIFS のセキュリティと認証」: CIFS のセキュリティと認証の方法について 説明します。 第4章 「HP CIFS Client を A.01 から A.02 に移行する方法」: HP CIFS Client A.01.* と A.02.* での、設定パラメータおよびコマンドオプションの違いを説 明します。この章では、CIFS Client の設定および更新を行うことができるよ うに、更新手順も説明します。 第5章 「コマンド行ユーティリティ」: すべての HP CIFS Client ユーティリティの UNIX マンページについて説明します。 第6章 「トラブルシューティングとエラーメッセージ」: HP CIFS Client のトラブル に対する詳細な診断手順を説明します。 第7章 「設定ファイル」: HP CIFS Client ソフトウェアをカスタマイズするときに使 用する構成変数の一覧を示します。 第8章 「PAM NTLM」: PAM NTLM 認証サービスについて詳しく説明します。 マニュアルに対するご意見・ご質問 本書に関するフィードバックは、当社のテクニカルドキュメント Web サイトにある「カスタマ フィードバック」ページ http://docs.hp.com/ja/feedback.html からお寄せください。 その際、ドキュメントのタイトルと製造番号をお知らせいただいた上で、自由なご意見、お気づ きのエラー、このドキュメントの改善のためのご提案などをいただけると幸いです。また、よ かった点も挙げていただければ、今後のドキュメントにも活かしたいと存じます。 16 1 HP CIFS Client の紹介 この章では、HP CIFS Client について説明します。 また、この章では、以下の内容について説明します。 • HP CIFS の紹介 • HP CIFS Client の説明 • HP CIFS Client の特長 HP CIFS の紹介 HP CIFS は、Microsoft CIFS (Common Internet File Sytem) プロトコルを採用し、HP-UX 上 で分散ファイルシステムを使用可能にします。HP CIFS は、CIFS プロトコルのサーバーコン ポーネントとクライアントコンポーネントの両方を HP-UX 上で実装します。 HP CIFS Server は、定評のあるオープンソースソフトウェアである Samba をベースにしてお り、CIFS クライアント (Windows、HP 以外の CIFS クライアント、HP CIFS Client ソフト ウェアが実行されている HP-UX マシンなど ) でファイルサービスと印刷サービスを実行します。 HP CIFS Client を使用すると、HP-UX ユーザーは、Windows サーバーや、HP CIFS Server が稼働している HP-UX マシンなどの CIFS ファイルサーバーから、UNIX ファイルシステムを マウントして共有できます。また、HP CIFS Client には、Windows NT Lan Manager (NTLM) 認証プロトコルを実装した PAM (Pluggable Authentication Module) をオプションで組み込むこ とも可能です。HP-UX の PAM 機能をインストールおよび設定すると、HP-UX ユーザーは、 PAM NTLM により、Windows 認証サーバーによる認証を受けることができるようになります。 CIFS プロトコルとは CIFS は、もともとはネットワーキングプロトコルで、SMB (Server Message Block) プロトコ ルと呼ばれることもありました。SMB は、1980 年代後半に IBM によって開発されました。 SMB は、Microsoft Windows に使用されているネイティブのファイル共有プロトコルです。 第1章 17 HP CIFS Client の紹介 HP CIFS の紹介 CIFS は、SMB の名前が変更されただけのもので、実際には、CIFS と SMB はまったく同じよ うに使用されています。( 現在 Microsoft 社は、「CIFS」と呼ぶように推奨していますが、 「SMB」と呼ばれる場合もあります。) また CIFS は、UNIX、Linux、Macintosh、およびその 他のプラットフォームで幅広く使用できます。 CIFS は、リモートファイルアクセス プロトコルであり、リモートシステム上のファイルへのア クセスを可能にします。CIFS により、サーバーとクライアントの両方が定義されます。そして、 CIFS クライアントからは、CIFS サーバー上のファイルにアクセスできるようになります。 HP CIFS をインストールすると、HP-UX マシンから、CIFS プロトコルを介した通信が可能に なり、HP-UX サーバーのディレクトリを Windows マシンにマウント / マウント解除できるよう になります。 PAM NTLM HP-UX PAM サブシステムにより、システム管理者はシステムで使用可能な認証サービスを自由 に選択して使用できます。また、このフレームワークにより新しい交換可能な認証サービスモ ジュールが提供され、アプリケーションを修正せずに使用できます。 PAM フレームワークの libpam は、インタフェースライブラリと複数の認証サービスモジュー ルから構成されています。認証サービスモジュールは、PAM API により実行される動的にロー ド可能なオブジェクトのセットで、特別なタイプのユーザー認証を実行します。 18 第1章 HP CIFS Client の紹介 HP CIFS Client の説明 NT LAN Manager (NTLM) は、CIFS サーバーが CIFS クライアントを認証するために使用する プロトコルです。PAM NTLM は、NTLM プロトコルを実行する PAM モジュールです。これに より、HP-UX システムにログインしたユーザーは、cifslogin コマンドを使用せずに、CIFS サーバーからマウントしたファイルシステムにアクセスできます。 HP CIFS Client の説明 HP CIFS Client は、HP-UX システムに実装された CIFS プロトコルで、HP-UX ユーザーが、 CIFS サーバーから UNIX ファイルシステムをマウントして共有できるようにします。 第1章 19 HP CIFS Client の紹介 HP CIFS Client の特長 HP CIFS Client の特長 HP CIFS Client の主な特長は、以下のとおりです。 • UNIX 対応 CIFS 拡張機能 • NTLM PAM の統合 • Kerberos 認証、システム Kerberos キャッシュとの統合 • ONC AutoFS 2.3 のサポート • ローカライズされたクライアントのサポート • NTLM と NTLMv2 のパスワード暗号化 • パケット署名 • NetBIOS ネームサービス、WINS、DNS のサポート • Microsoft Distributed File System (MS DFS) のサポート • Dynamically Loadable Kernel Module (DLKM) のサポート • ポート 445 を使った、SMB over TCP のサポート UNIX 対応 CIFS 拡張機能 UNIX 対応 CIFS 拡張機能により、CIFS Client と Samba サーバーで、標準の UNIX ファイル システムの機能を使用できるようになりました。以下のような機能を使用できます。 • UNIX のパーミッションモード • UNIX の UID や GID に基づいたファイル所有権の設定 • シンボリックリンクとハードリンク • ファイルがアクセス、変更、および更新された日時を記録するための、UNIX 標準のタイム スタンプ • UNIX の stat(2) のデータ構造に含まれる他のデータの包含 注記 20 この機能は、UNIX 対応 CIFS 拡張機能をサポートしている CIFS サーバー でのみ使用できます。 第1章 HP CIFS Client の紹介 HP CIFS Client の特長 NTLM PAM の統合 NTLM (NT LAN Manager) は、CIFS サーバーが CIFS クライアントを認証するために使用され るデフォルトのプロトコルです。NTLM を HP が提供する NTLM PAM (Pluggable Authentication Module)、および HP CIFS Client と併用すると、NTLM PAM と CIFS サー バーが同じデータベースを使用していれば、HP-UX システムにログインしたユーザーは、CIFS サーバーからマウントされたファイルシステムに自動的にアクセスできます。 Kerberos 認証 : システム Kerberos キャッシュとの統合 CIFS Client は、Kerberos 認証機構をサポートしています。Kerberos は、業界標準のセキュア な認証プロトコルです。Kerberos により、CIFS Client と CIFS Server で以前から使用されて いた古い NTLM プロトコルに比べて、機能が大幅に強化されます。HP CIFS Client の Kerberos サポートを利用するためには、ネットワーク内の CIFS サーバーが Kerberos をサポー トしている必要があります。Kerberos は、Client を実行する HP-UX ホストと、ネットワーク の両方で正しく設定する必要があります。 もう 1 つの特長として、HP CIFS Client をシステム Kerberos キャッシュに統合することがで きます。HP-UX ホストで PAM Kerberos や他の、システム Kerberos キャッシュを利用する Kerberos 対応プログラム (kinit(1) など ) を使用している場合、CIFS Client では、それらの キャッシュされた資格を利用して、マウントされている CIFS サーバーへの自動アクセスが可能 です。サーバーごとにユーザーが明示的に認証を行う必要はありません。 HP CIFS Client 向け AutoFS 2.3 サポート AutoFS は、HP ONC 製品セットに含まれるサービスです。これを使用すると、ファイルシステ ムのマウントおよびマウント解除を自動的に、かつ、エンドユーザーに対してほぼ透過的に行う ことができます。AutoFS 2.3 の最新バージョンは、HP CIFS Client にマウントされたファイル システムのマウントとマウント解除をサポートしています。AutoFS 2.3 では、HP CIFS ファイ ルシステムの直接マウントと間接マウントを自動的に実行できます。AutoFS 2.3 では、HP CIFS Client に対して、直接マップファイルと間接マップファイルをサポートしていますが、特 殊マップファイル、実行可能マップファイルはサポートしていません。また、複数の ( 複製 ) サーバーもサポートしていません。 HP CIFS Client AutoFS をサポートするためには、AutoFS 2.3 をシステムにインストールして 構成する必要があります。AutoFS のインストールと構成の詳細は、次の Web サイトにある 『NFS Services Administrator's Guide on HP-UX』の「Configuring and Administering AutoFS」を参照してください。 http://docs.hp.com 第1章 21 HP CIFS Client の紹介 HP CIFS Client の特長 注記 HP ONC+ AutoFS サービスを使用した CIFS ファイルシステムの自動マウント は、HP-UX リリース 11i v1 および 11i v2 のみでサポートされています。HP-UX 11i v1 システムには、AutoFS 2.3 のサポートを有効にする ONC ソフトウェア パッケージ Enhanced AutoFS (http://www.hp.com/go/softwaredepot から入手 可能 ) をインストールする必要があります。AutoFS は、HP-UX リリース 11.0 では、HP CIFS Client をサポートしていません。 ローカライズされたクライアントのサポート CIFS Client は、さまざまな言語にローカライズされたクライアントとサーバーをサポートする ように設計されています。CIFS Client では、Unicode を使用してネットワーク上で 2 バイト文 字を送信したり、/etc/opt/cifsclient/unitables ディレクトリにあるいくつかの文字コード表を 使用したりできます。この表のインデックスは、同じディレクトリにある README ファイルを 参照してください。 NTLM と NTLMv2 のパスワード暗号化 NTLM は、チャレンジレスポンス方式のプロトコルです。サーバーは、クライアントにチャレ ンジキーを送信します。クライアントは、チャレンジキーをユーザーのパスワードで暗号化し て、サーバーに返します。サーバーも同一の暗号化を行い、クライアントの要求が一致している か確認します。ユーザーのパスワードに類するデータがネットワーク上で転送されることはあり ません。CIFS Client は、NTLM と NTLMv2 をサポートしています。NTLM バージョン 2 (NTLMv2) は、同一のチャレンジレスポンス方式のプロトコルを使用していますが、NTLM よ り高度な暗号化アルゴリズムを備えているため、NTLM より優れたパスワード保護を行うこと ができます。 パケット署名 CIFS のパケット署名の目的は、中間者攻撃の防止です。クライアントとサーバーは、それぞれ の SMB パケット上に固有の署名を要求することで、互いを識別しています。 CIFS プロトコルでは、パケット署名は、クライアントがサーバーに最初に接続するとき、ネゴ シエートされます。クライアントとサーバーの間の SMB パケットにはすべて署名する必要があ り、それはサーバーへの最初のユーザーログインから始まります。 smbPacketSigning 設定パラメータの詳細については、55 ページの「パケット署名」を参照し てください。 22 第1章 HP CIFS Client の紹介 HP CIFS Client の特長 NetBIOS ネームサービス、WINS、DNS HP CIFS Client A.02.01 またはそれ以降は、DNS および NetBIOS ネームサービス (DNS に類 似した Windows の名前解決サービスである WINS など ) をサポートしています。設定パラメー タ lookupTryNetbios、lookupTryDns、nbnsWinsIP は、どの参照メカニズムを使用するか設 定するときに使用します。詳細については、40 ページの「名前解決 : NetBIOS ネームサービス、 WINS、DNS、IP の設定」を参照してください。 Microsoft Distributed File System HP CIFS Client A.02.02 は、Microsoft Distributed File System (MS DFS) をサポートしていま す。DFS はネットワークサーバーのコンポーネントであり、管理者は DFS を使うと、ネット ワーク上の複数のファイルサーバーとファイルサーバーシェアについて、1 つの階層的なビュー を表示できます。DFS は種々のコンピュータ上のファイルを 1 つの名前空間に統合し、ユー ザーが参照するファイルとディレクトリの論理的ビューを、これらのネットワークの実際の物理 的位置から分離する手段を提供します。 DFS は、DFS Root、1 つ以上の DFS リンク、DFS クライアントの 3 つの主なコンポーネント からなります。DFS Root は CIFS Server 上の特殊なシェアで、DFS 機能の開始点として動作 します。DFS リンクは DFS Root 内の特殊なディレクトリで、同じサーバーまたは別のサー バー上の、他の CIFS 共有ディレクトリへマッピングされます。DFS クライアントは、DFS リ ンクを処理することができる CIFS クライアントです。DFS クライアントは、DFS リンクにア クセスするとき、DFS リンクがマッピングされている CIFS 共有ディレクトリに対する要求を 送信し、その CIFS 共有ディレクトリへの接続を確立します。 HP CIFS Client は、以下の DFS サーバーをサポートしています。 • Windows NT • Windows 2000/2003 • HP CIFS Server CIFS サーバー上で DFS をセットアップする方法については、CIFS サーバーのドキュメントを 参照してください。 DFS の主な機能は、以下のとおりです。 • 高いデータ可用性 読み取り専用共有ディレクトリの複数のコピーを同じ論理 DFS 名でマウントできるため、 データアクセス用の代替位置が用意できます。いずれかのコピーが利用できなくなった場合 は、代替の共有ディレクトリが自動的に選択されます。 第1章 23 HP CIFS Client の紹介 HP CIFS Client の特長 • 負荷分散 別のディスクドライブやサーバー上にある、読み取り専用共有ディレクトリの複数のコピー を、同じ論理 DFS 名でマウントできます。これにより、ドライブやサーバー間での制限付 き負荷分散が可能になります。 • 名前と位置の透過性 DFS は、サーバーボリュームとシェアを、1 つの名前空間に透過的にリンクします。ユー ザーはこの論理名空間を、データの物理的な位置を意識せずに操作できます。 • Windows NT セキュリティモデルとの統合 管理やセキュリティに関する特記事項はありません。DFS シェアに接続したユーザーは、 シェア上で適切な権限を持っているファイルに対してだけアクセスが許可されます。 制限事項 CIFS Client MS DFS のサポートには、以下の制限事項があります。 • DFS リンク間でのファイルの移動はサポートされていません。 • HP CIFS Server (Samba) 上の DFS Root に CIFS Client を接続する前に、CIFS Client と CIFS Server のいずれかの UNIX 対応 CIFS 拡張機能を無効にしなければなりません。 ダイナミックロード可能カーネルモジュール HP CIFS Client のカーネルコンポーネントは、Dynamically Loadable Kernel Module (DLKM) として実装されています。静的バインドとダイナミックロードの両方がサポートされています。 ダイナミックロードは、デマンドロードまたはオートロードです。DLKM がサポートされてい るため、HP CIFS Client のインストール、削除、およびアップデートでは、システムのリブー トは必要ありません。 HP CIFS Client は、以下のカーネルモジュール状態をサポートしています。 • Auto: モジュールは、最初に使われるときにダイナミックにロードされます。 • Static: モジュールは、カーネルに静的にリンクされています。 • Loaded: モジュールは、カーネル内にダイナミックにロードされ実行されています。 • Unused: モジュールは、カーネル内にロードされていません。 • Best: auto、static、loaded、unused という順序の優先順位を選択する状態です。 24 第1章 HP CIFS Client の紹介 HP CIFS Client の特長 デフォルトでは、カーネルモジュールの状態は auto です。HP CIFS Client のカーネルモ ジュールは、CIFS ファイルシステムのマウントが最初に行われたときにダイナミックにロード されます。kcmodule コマンドを使って、カーネルの構成状態を変更することもできます。カー ネルの構成状態を変更するにあたっては、変更による影響を理解してください。詳細は、 kcmodule(1M) のマンページを参照してください。 注記 HP CIFS Client での DLKM サポートは、HP-UX 11i v2 以降でのみ利用可能で す。 SMB over TCP この機能を使用すると、CIFS のクライアントサーバー接続で NetBIOS Session Service が使わ れなくなります。この機能は、現在の Windows クライアントではデフォルトです。HP CIFS Client では、SMB over TCP はデフォルトではオフです。この機能は、Windows NT サーバー ではサポートされていません。NT サーバーがあるネットワークとないネットワークでこの機能 を構成する方法についての詳細は、93 ページの第 7 章 「設定ファイル」の smbOverTCP パラ メータを参照してください。 第1章 25 HP CIFS Client の紹介 HP CIFS Client の特長 26 第1章 2 HP CIFS Client のインストール、設定、使 用 この章では、HP CIFS Client ソフトウェアをご使用のシステムにインストールする手順を説明 します。 また、この章では、以下の内容について説明します。 • 27 ページの「HP CIFS Client のインストールと設定の概要」 • 29 ページの「手順 1: HP CIFS Client のインストールに必要な条件の確認」 • 30 ページの「手順 2: HP CIFS Client ソフトウェアと PAM ソフトウェアのインストール」 • 31 ページの「手順 3: HP CIFS Client の設定」 • 33 ページの「手順 4: HP CIFS Client デーモンの起動と停止」 • 34 ページの「HP CIFS Client の使い方」 • 39 ページの「CIFS ファイルシステムの自動マウント」 • 40 ページの「名前解決 : NetBIOS ネームサービス、WINS、DNS、IP の設定」 • 42 ページの「HP CIFS Client のファイルとディレクトリ」 HP CIFS Client のインストールと設定の概要 HP CIFS Client のインストール作業には、インストールに必要な条件の確認、ユーティリティ swinstall(1M) を使用した HP CIFS Client のファイルセットのロード、および HP CIFS の設 定手順の実行などがあります。 CIFS Client と PAM NTLM 製品は、同じバンドルで提供されており、HP Software Distributor (SD) を介してインストールするようにパッケージされています。HP では、両方の 製品を同時にインストールすることをお勧めしています。ただし、製品を個別にインストール し、スタンドアロンの製品としてお使いいただくこともできます。ソフトウェアのインストール と削除を実行するには、HP-UX コマンド swinstall(1M) と swremove(1M) を使用します。こ れらのコマンドについての詳細は、HP-UX のマンページに記載されています。 CIFS Client をインストールまたは削除するときには、システムをリブートする必要がありま す。CIFS Client をインストールするとカーネルが修正され、カーネルが CIFS をマウント可能 なファイルシステムとして認識するようになります。 第2章 27 HP CIFS Client のインストール、設定、使用 HP CIFS Client のインストールと設定の概要 HP CIFS Client のバンドルでは、インストール可能な 2 つの製品が提供されます。1 つは HP CIFS Client ソフトウェアで、もう 1 つは NTLM PAM モジュール ( オプション ) です。 注記 28 HP CIFS Client ソフトウェアは、http://www.hp.com/go/softwaredepot からダ ウンロードできます。 第2章 HP CIFS Client のインストール、設定、使用 手順 1: HP CIFS Client のインストールに必要な条件の確認 手順 1: HP CIFS Client のインストールに必要な条件の確認 HP CIFS Client ソフトウェアをシステムにロードする前に、ハードウェアとソフトウェアが、 以下のような必要条件を満たしていることを確認してください。 1. HP CIFS Client は、 32 ビット版、または 64 ビット版 HP-UX バージョン 11.11 以降が動作でき るすべての HP 製ワークステーションおよびサーバーで実行できます。HP CIFS Client に ついては、特定のシステムパッチは不要です。以下の項目 3 を参照してください。 2. Kerberosライブラリのlibkrb5.slとlibcom_err.libがシステムに存在している必要があります。 HP-UX 11i v1 (B.11.11) 以降のリリースでは、これらのライブラリは、HP-UX オペレー ティングシステムの基本インストールの一部として、デフォルトでシステムに配置されま す。ただし、HP-UX 11.0 (B.11.00) では、これらのライブラリが配置されていない場合があ ります (/usr/lib を確認してください )。これらのライブラリを用意するには、 http://www.hp.com/go/softwaredepot にある PAM Kerberos 製品をインストールします。 3. 最新の PAM ライブラリパッチがインストールされていることを確認します。パッチは、HP のオンラインパッチカタログで入手できます。「libpam」で検索してください。swlist コ マンドで、システムにインストールされているソフトウェアの一覧を表示できます。一般リ リースパッチが一覧に表示されている場合は、次のコマンドで、PAM パッチに関する内容 を確認できます。 swlist -l fileset _patch-name_ | grep -i pam パッチの依存関係についての詳細は、HP CIFS Client のリリースノートを参照してくださ い。 4. インストールを行うには、root 権限を持ったユーザーとしてログインする必要があります。 注記 第2章 現在使用している HP CIFS Client のバージョンが A.01.* の場合は、バージョン A.02.* のインストール前に、57 ページの「HP CIFS Client をバージョン A.01.* から A.02.* に移行する方法」をお読みください。 29 HP CIFS Client のインストール、設定、使用 手順 2: HP CIFS Client ソフトウェアと PAM ソフトウェアのインストール 手順 2: HP CIFS Client ソフトウェアと PAM ソフトウェアのインス トール HP-UX システムにソフトウェアをインストールするには、root 権限を持っている必要がありま す。CIFS Client にはカーネルモジュールが含まれているため、システムはインストール完了直 後に再起動されます。 CD からのインストール HP CIFS Client および PAM のソフトウェアを CD からインストールする場合、swinstall を 実行し、HP CIFS Client または PAM NTLM ( または両方 ) を CD ROM のデポパスから選択し ます。 ソフトウェアデポファイルからのインストール デポファイル (http://www.hp.com/go/softwaredepot からダウンロードできるファイルなど ) からインストールを行う場合は、コマンド行に以下のとおり入力します。 swinstall options -s /path/filename B8724AA ここで、 options は、-x autoreboot=true -x mount_all_filesystems=false と指定します。 path は絶対パス ( パスの先頭は /) にします ( 例 : /tmp)。 filename は ダウンロードされたデポファイルの名前です。通常は、以下のようなロングネー ム形式です。 B8724AA_A.02...HP-UX_B.11...32+64.depot 例 たとえば、HP CIFS Client バンドルバージョン A.02.01 をダウンロードされたデポファイルか ら HP-UX 11i v2 システムにインストールする場合は、コマンド行に以下のとおり入力します。 swinstall -x autoreboot=true -x mount_all_filesystems=false \ -s /tmp/B8724AA_A.02.01_HP-UX_11.23_IA+PA.depot B8724AA 30 第2章 HP CIFS Client のインストール、設定、使用 手順 3: HP CIFS Client の設定 手順 3: HP CIFS Client の設定 HP CIFS Client の設定ファイル /etc/opt/cifsclient/cifsclient.cfg は、提供された状態のまま、 デフォルト値を修正せずに使用できます。 cifsclient.cfg の編集 /etc/opt/cifsclient/cifsclient.cfg.default ファイルには、工場出荷時の設定が含まれています。 ユーザーは、このファイルを変更する必要はありませんが、参照用に保存する必要があります。 適切な場合は、以下のとおりファイルを編集します。 1. WINS 参照を有効にするには、 nbnsWinsIp パラメータに WINS サーバーの IP アドレスを 設定します。詳細については、40 ページの「名前解決 : NetBIOS ネームサービス、WINS、 DNS、IP の設定」を参照してください。 2. クライアントをローカライズします。 CIFS Client は、さまざまな言語にローカライズされたクライアントとサーバーをサポート できるように設計されています。CIFS Client では、Unicode を使用してネットワーク上で 2 バイト文字を送信したり、/etc/opt/cifsclient/unitables ディレクトリにあるいくつかの 文字コード表を使用したりできます。この表のインデックスは、同じディレクトリにある README ファイルを参照してください。 それぞれの表は、クライアント上またはサーバー上のファイル名およびディレクトリ名を コード化できるように設定できる、キャラクタマッピングファイルです ( ファイル内容は処 理されません )。CIFS Client コンソールで表示される文字セットは、clientCharMapFile パ ラメータで設定されます。このパラメータで、製品で提供されるさまざまなキャラクタマッ ピングファイルのどれか 1 つを選択します。CIFS Server と通信するための文字変換は Unicode を使用するか、またはキャラクタマッピングファイルの選択に使用される serverCharMapFile 設定パラメータを使って行うことができます。Unicode の使用は、 useUnicode パラメータの ON/OFF によって切り替えます。 cifsclient.cfg のデフォルトの設定は、以下のとおりです。 serverCharMapFile = "/etc/opt/cifsclient/unitables/unimapCP437.cfg"; clientCharMapFile = "/etc/opt/cifsclient/unitables/unimap8859-1.cfg"; たとえば、Shift-JIS コードを使用する日本語システムとして設定されている CIFS クライ アントを、同じく Shift-JIS コードを使用する日本語 CIFS サーバーに接続する場合は、以 下のように設定します。 第2章 31 HP CIFS Client のインストール、設定、使用 手順 3: HP CIFS Client の設定 serverCharMapFile = "/etc/opt/cifsclient/unitables/unimapShiftJIS.cfg"; clientCharMapFile = "/etc/opt/cifsclient/unitables/unimapShiftJIS.cfg"; 3. 認証方法 authenticationMethod パラメータには、ntlm または kerberos を設定する必要がありま す。詳細については、第 3 章の「HP CIFS Client での Kerberos の使用」を参照してくださ い。 4. NTLM のパスワード暗号化 Kerberos が使用されていないサーバーに対しては、構成パラメータ ntlmEncryptionVersion に ntlm または ntlmv2 を設定して、どの NTLM バージョンを使 用するか決定できます。詳細については、第 3 章の「認証の設定」を参照してください。 5. サーバー固有の設定 CIFS Client は、サーバーごとにグローバル設定を上書きする方法を備えています。たとえ ば、グローバルでは ntlmEncryptionVersion に NTLM を設定したままで、サーバー cifshostA が NTLMv2 のみを使用できるようにする場合は、以下のセクションを作成します ( これは囲まれた "servers" セクション内にあります。また CIFS Client の設定ファイルの末 尾にある例も参照してください )。 cifshostA = { ); 32 ntlmEncryptionVersion = ntlmv2; 第2章 HP CIFS Client のインストール、設定、使用 手順 4: HP CIFS Client デーモンの起動と停止 手順 4: HP CIFS Client デーモンの起動と停止 HP CIFS Client を起動または停止するには、cifsclient コマンドを使用します。 構文は、以下のとおりです。 cifsclient {start|stop} 引き数を省略して cifsclient を実行すると、cifsclient start が実行されます。このコマ ンドを実行したときに HP CIFS Client がすでに起動している場合は、そのことを伝えるメッ セージが表示されます。 HP CIFS Client を停止するには、cifsclient コマンドの stop オプションを指定します。 CIFS Client は、シャットダウン時に、まず CIFS 共有ディレクトリをすべてマウント解除しよ うとします。マウント解除が 1 つでも失敗すると、シャットダウンは完了しません。 詳細は、「コマンド行ユーティリティ」の章の cifsclient マンページを参照してください。 第2章 33 HP CIFS Client のインストール、設定、使用 HP CIFS Client の使い方 HP CIFS Client の使い方 この項では、HP CIFS Client の使い方を簡単に説明します。基本的な手順は、(1) デーモンの起 動、(2) 共有ディレクトリのマウント、(3) CIFS サーバーへのログインです。これらの手順の例 およびその他の役立つヒントを以下に示します。 1. デーモンを起動します。 通常は、システム管理者が root でログインし、システムの起動時に以下のコマンドを実行 します。 $ cifsclient start CIFS Client started; process id: 12783 以下のコマンドを実行すると、いつでもステータスを確認できます。 $ cifsclient status path: /opt/cifsclient/sbin/cifsclientd version: FILESET HP CIFS CLIENT: Version: A.02.01 Compiled on HP-UX B.11.11, s785/C360, 03/05/30, 13:34:15 cifsclientd: ver_id=1291218999 cksum: 2781544263 status: CIFS Client is up; process id 12783, started Apr 13 mntck: ok CIFS Client がシステム起動時に自動起動するように、HP-UX システムを設定変更できま す。この設定変更を行うには、/etc/rc.config.d/cifsclient ファイルを編集し、以下のとおり 実行フラグに 1 を設定します RUN_CIFSCLIENT=1。等号の両側には、スペースを入れな いでください。このオプションを使用すると、HP CIFS Client が起動した後でも HP CIFS Client の停止および再起動を行うことができます。 2. CIFS サーバーの共有ディレクトリをマウント / マウント解除します。 root ユーザー以外は、この操作を行うことはできません。HP CIFS Client がマウントする 必要のあるリモートディレクトリは、HP CIFS Server 上で共有ディレクトリとして設定す る必要があります。 34 第2章 HP CIFS Client のインストール、設定、使用 HP CIFS Client の使い方 以下の例では、共有ディレクトリ source は、HP CIFS Server の buildsys 上で共有ディレ クトリとして設定され、CIFS Client によって /home/devl/source ディレクトリをマウント ポイントとしてマウントされています。マウントポイントとして使用されるディレクトリ は、既存のディレクトリであり、また、絶対パスで指定する必要があります。 マウントするには、以下のコマンドを実行します。 $ mount -F cifs buildsys:/source /home/devl/source マウント解除を行うには、マウントポイントのみを指定します。 $ umount /home/devl/source 3. クライアントのマウントポイントを経由して共有ディレクトリへアクセスします。 CIFS プロトコルは、サーバーまたはドメインコントローラによって認証されたユーザーの みにマウントされたディレクトリへのアクセスを許可します。認証を受けるには、 cifslogin コマンドを実行します。 以下の例では、共有ディレクトリ source が、サーバー上に設定されています。たとえば、ク ライアント上のユーザー joe が、buildsys 上の共有ディレクトリにアクセスするとします。 その場合は、最初にマウントポイントのディレクトリに移動して、共有ディレクトリにアク セスしようとしても、サーバーにログインできずに失敗します。 次に、cifslogin コマンドを使用して buildsys にログインすると、ユーザーは buildsys に より認証され、共有ディレクトリ source に CIFS クライアントのマウントポイントを経由し てアクセスできます。CIFS サーバーへのログインに使用するユーザー名は、クライアント での現在の HP-UX ログイン名とは異なる場合があるので注意してください。cifslogin で使 用されるアカウントとパスワードの組み合わせは、認証を行うシステムで設定されている必 要があります。 さらに、CIFS サーバーが HP-UX システムである場合は、CIFS サーバーにアクセスする CIFS クライアントのすべてのユーザーは、ファイルの所有権に矛盾がないようにするため、 両方のシステムで同じ uid を所有している必要があります。 $ whoami joe cd /home/dev1/source sh: /home/dev1/source: not found このコマンドを実行しても、ユーザーは CIFS サーバーの buildsys にまだログインしていな いため失敗します。 $ cifslogin buildsys joe 第2章 35 HP CIFS Client のインストール、設定、使用 HP CIFS Client の使い方 Remote user joe's password: ***** このコマンドは、成功します。 cifslist コマンドを使用すると、結果を確認できます。オ プションを省略して cifslist コマンドを実行すると、共有ディレクトリおよびマウントポ イントの情報が付加されたサーバー名が表示されます。このコマンドでは、マウントされる オブジェクトに対して、\\server\share という形式が使用されます。 $ cifslist Mounted Object Mountpoint State ------------------------------------------------------------\\buildsys\source /home/devl/source M ============================================================= Server Local User Remote User Domain State ------------------------------------------------------------buildsys joe joe L cifslist -x コマンドを使用して結果を確認すると、マウントされたオブジェクトに対し て、server:/share という UNIX 形式で、サーバー名に共有ディレクトリおよびマウント ポイントの情報が付加されて出力されます。 $ cifslist -x Mounted Object Mountpoint State ------------------------------------------------------------buildsys:/source /home/devl/source M ============================================================= Server Local User Remote User Domain State ------------------------------------------------------------buildsys joe joe L $ cd /home/dev1/source 上記の cifslogin によって、このコマンドは成功します。 上記の例 (buildsys 上で source がマウントされ、ユーザー joe が認証される ) を使用して、 以下のとおり、lucy という名前のユーザーがマウントにアクセスします。 $ cifslogin buildsys lucy Remote user lucy's password: ***** cifslist コマンドを使用すると、結果を確認できます。 $ cifslist Mounted Object Mountpoint State ------------------------------------------------------------- 36 第2章 HP CIFS Client のインストール、設定、使用 HP CIFS Client の使い方 \\BUILDSYS\source /home/devl/source M ============================================================= Server Local User Remote User Domain State -------------------------------------------------------------buildsys joe joe L buildsys lucy lucy L ローカルユーザー (HP-UX のアカウント名 ) は、リモートユーザー (CIFS Server のアカウ ント名 ) と同じである必要はありません。上記の例で、(HP-UX の ) ローカルユーザー lucy に CIFS のアカウント名 lucille が設定されている場合は、lucy は以下のとおりログインしま す。 $ cifslogin buildsys lucille Remote user lucille's password: ***** cifslist コマンドを使用すると、結果を確認できます。 $ cifslist Mounted Object Mountpoint State ------------------------------------------------------------\\BUILDSYS\source /home/devl/source M ============================================================= Server Local User Remote User Domain State -------------------------------------------------------------buildsys joe joe L buildsys lucy lucille L cifslist コマンドを使用して HP CIFS Client の内部テーブルを表示する方法の詳細につ いては、67 ページの第 5 章 「コマンド行ユーティリティ」を参照してください。 マウントとログインを 1 回の操作で実行する方法 root ユーザーは、cifslogin コマンドを実行しなくても、1 回の操作で CIFS ファイルシステ ムをマウントし、CIFS Server にログインできます。上記の例と同じ名前を使用した場合は、以 下のとおりコマンドを実行します。 $ mount -F cifs -o username=x,password=y buildsys:/source /home/dev1/source ここで、x と y は、サーバーが認識するユーザー名とパスワードの組み合わせです。 第2章 37 HP CIFS Client のインストール、設定、使用 HP CIFS Client の使い方 cifsmount コマンドでも同じ操作を行うことができます。上記の例と同じ名前を使用した場合 は、以下のとおりコマンドを実行します。 $ cifsmount -U username [-Ppassword] //buildsys/source /home/dev1/source -P password をコマンド行に指定しない場合は、cifsmount からパスワード入力用プロンプト が表示されます。 CIFS Client のログ CIFS Client は、CIFS Client の動作に関するログファイルを作成します。ソフトウェア内のさ まざまなモジュールの動作など、さまざまなレベルのログを有効または無効にできます。詳細に ついては、91 ページの「CIFS Client のログファイルとログレベル」を参照してください。 38 第2章 HP CIFS Client のインストール、設定、使用 CIFS ファイルシステムの自動マウント CIFS ファイルシステムの自動マウント 前の項で説明した mount コマンドでは、1 つのファイルシステムをマウントできますが、この他 にも CIFS ファイルシステムのマウントを管理する方法があります。構文についての詳細は、第 5 章の mount_cifs コマンドと umount_cifs コマンドの説明を参照してください。 /etc/fstab の使用 /etc/fstab ファイルに行を追加して、CIFS ファイルシステムがブート時に自動的にマウントさ れるようにしたり、1 つのコマンドを入力するだけで、1 つまたは複数の CIFS サーバーに、複 数の CIFS ファイルシステムがマウントされるようにすることができます。以下の形式の行を追 加してください。 server:/share mount_point cifs defaults 0 0 このファイルの形式の詳細については、 fstab(4) のマンページを参照してください。 /etc/fstab ファイルに指定されているすべての CIFS ファイルシステムを手動でマウントするに は、以下のように入力します。 $ mount -aF cifs 現在マウントされている CIFS ファイルシステムのマウントを解除するには、以下のように入力 します。 $ umount -aF cifs 34 ページの「HP CIFS Client の使い方」の項目 1 ですでに説明したとおり、CIFS Client がシ ステム起動時に起動するように設定されている場合は、上記のコマンドは、システム起動時およ びシステムシャットダウン時に自動実行されます。 CIFS Client マウントデータベースにマウントを格納する方法 CIFS のマウント情報も CIFS マウントデータベースに格納できます。この場合は、CIFS Client の起動時に必ずマウントが再実行されます。コマンド cifsdb または cifsmount のどちらかを 使用すると、マウントを格納できます。詳細については、67 ページの第 5 章 「コマンド行ユー ティリティ」を参照してください。 CIFS Client マウントデータベースファイルは、/var/opt/cifsclient/cfgdb.ppl です。このファ イルのパスは設定できません。このファイルは自動生成されます。手動で編集しないでくださ い。 第2章 39 HP CIFS Client のインストール、設定、使用 名前解決 : NetBIOS ネームサービス、WINS、DNS、IP の設定 名前解決 : NetBIOS ネームサービス、WINS、DNS、IP の設定 CIFS Client は、CIFS Server をマウントしようとするとき、まずサーバーに対する NetBIOS 接続を確立する必要があります。そのため、コマンド mount または cifsmount に指定される サーバー名は、CIFS Server の NetBIOS 名 (Windows 名 ) である必要があります。サーバー名 から IP アドレスに名前解決を行うため、CIFS Client は以下の参照方法を以下の順に使用しま す ( 対応する IP アドレスが見つかると、参照は終了します )。 • 設定済みのサーバー固有の IP アドレス • WINS 参照 • NetBIOS ブロードキャスト • DNS 参照 デフォルトでは、NetBIOS ブロードキャストと DNS のみが有効になっています。この 2 つを 有効にするには、設定パラメータ lookupTryNetbios および lookupTryDns に yes を設定しま す。 CIFS Client は、設定ファイルの WINS (DNS に類似した Windows の名前解決サービス ) また はサーバー固有の設定を使用して CIFS Server の名前解決を行うこともできます。WINS には、 ほとんどの CIFS 環境に十分な効率的な参照メカニズムが備わっています。名前解決の設定は、 以下のとおり行うことができます。 • WINS を有効にするには、nbnsWinsIp パラメータに WINS サーバーの IP アドレスを設定 します。接続先の CIFS Server は、WINS サーバーに登録している必要があります。たとえ ば、パラメータ lookupTrynetbios および lookupTryDns に yes を設定し、WINS サー バーの IP アドレスに 110.112.114.115 を指定している場合は、CIFS Client は、WINS 参 照、NetBIOS ブロードキャスト、DNS 参照を順に試みます。 WINS は NetBIOS ネームサービスの機能であるため、 lookupTryNetbios 無効にすると、 WINS も無効になります。たとえば、lookupTryNetbios に no を設定すると、HP CIFS Client は nbnsWinsIp の設定を無視し、WINS 参照をまったく試みません。 • 40 サーバーの NetBIOS 名がサーバーの DNS 名と異なる (DNS がサーバーの名前解決を行う ことができない ) 場合、また、サーバーが CIFS Client とは異なるサブネット上にある (NetBIOS ブロードキャストがサーバーの名前解決を行うことができない ) 場合、また、 サーバーのアドレスが WINS によって解決されない場合は、IP アドレスに対応するサー バーエントリーを CIFS Client の設定ファイルに作成する必要があります。 第2章 HP CIFS Client のインストール、設定、使用 名前解決 : NetBIOS ネームサービス、WINS、DNS、IP の設定 サーバー固有の設定を設定ファイルに作成するには、( 設定ファイルの末尾に記述されてい る例に従って、) まずサーバー用のセクションを作成します。その後、ipAddress パラメー タにサーバーの IP アドレスを設定します。この場合、設定された IP アドレスが直接使用さ れます。設定が行われたサーバーに対しては、他の参照方法は無視されます。 例: buildsys = { ipAddress = "110.112.114.115"; }; IP アドレスは二重引用符で囲む必要があります。 NetBIOS ブロードキャストが役立つのは、クライアントと同じサブネットワーク上にあるサー バーのみです。また、CIFS Client が DNS を使用して NetBIOS 接続を確立できるのは、DNS 名と Windows 名が同じサーバーのみです。 第2章 41 HP CIFS Client のインストール、設定、使用 HP CIFS Client のファイルとディレクトリ HP CIFS Client のファイルとディレクトリ この項では、HP CIFS Client を構成する重要なファイルが表にまとめられています。 表 2-1 HP CIFS Client のファイルとディレクトリ ファイル / ディレクトリ 説明 /opt/cifsclient/ CIFS Client のあらゆるコアファイルと運用ファイルが存 在する基本ディレクトリです。 /opt/cifsclient/bin/ CIFS のバイナリファイルがあります。 cifsmount CIFS サーバーの共有ディレクトリをマウントするためのス クリプトです。root ユーザーしか使用できません。 cifsumount CIFS の共有ディレクトリのマウントを解除するためのスク リプトです。root ユーザーしか使用できません。 cifsgettkt Kerberos のセットアップに役立つユーティリティです。詳 細については、51 ページの「HP CIFS Client での Kerberos の使用」を参照してください。 cifslogin 一般ユーザーが CIFS の ( マウントされた ) 共有ディレクト リを使用するためのスクリプトで、ユーザーは最初に (CIFS で設定された ) 自分のユーザー名とパスワードを入 力して CIFS ドメインや CIFS マシンにログインします。 cifslogout ユーザーが CIFS ドメインからログアウトするためのスク リプトです。CIFS ドメインのマウントされた共有ディレク トリを使用することができなくなります。 cifslist クライアント側からマウントされた共有ディレクトリのリ ストを表示するためのスクリプトです。 cifsclient CIFS Client のスクリプトを起動または停止するためのス クリプトです。スクリプトについての詳細は、「手順 4: HP CIFS Client デーモンの起動と停止」の項を参照してくだ さい。 42 第2章 HP CIFS Client のインストール、設定、使用 HP CIFS Client のファイルとディレクトリ 表 2-1 HP CIFS Client のファイルとディレクトリ ( 続き ) ファイル / ディレクトリ 説明 cifsdb CIFS Client データベース内のエントリーを追加、変更、 削除します。このエントリーにより、CIFS のマウントとロ グインを自動的に実行することができます。 /opt/cifsclient/pam HP CIFS PAM ファイルです。 /opt/cifsclient/sbin 管理者や root ユーザーが使用する CIFS Client プログラ ムがあるディレクトリです。CIFS Client のデーモンがこ のディレクトリにあります。 /etc/opt/cifsclient/ CIFS Client の設定ファイルやローカライズ用ファイルの ディレクトリです。 cifsclient.cfg CIFS Client のデーモンがアクセスする設定ファイルです。 cifsclient.cfg.default デフォルトの設定ファイルです。このファイルをコピーし て、名前を cifsclient.cfg に変更して使用する必要がありま す。内容は変更しないでください。 /etc/opt/cifsclient/unitables ローカライズされたクライアントのためのキャラクタマッ ピングテーブルです。 pam/smb.conf PAM 設定ファイルです。このファイルは、必要に応じて修 正してください。このファイルについての詳細は、第 8 章 「PAM NTLM」を参照してください。 pam/smb.conf.default デフォルトの PAM ファイルです。このファイルをコピー し、名前を pam/smb.conf に変更して使用する必要があり ます。内容は変更しないでください。 /var/opt/cifsclient CIFS Client のログファイル、pid ファイル、および Client 自体が使用するために作成されるテンポラリファイルがあ るディレクトリです。 第2章 43 HP CIFS Client のインストール、設定、使用 HP CIFS Client のファイルとディレクトリ 44 第2章 3 CIFS のセキュリティと認証 この章では、Windows NT LanManager (NTLM)、NTLMv2、Kerberos を使用した、CIFS の セキュリティ対策および認証方法について説明します。この章は、以下のセクションから構成さ れています。 • 45 ページの「はじめに」 • 48 ページの「ユーザーログイン手順」 • 50 ページの「Kerberos の紹介」 • 51 ページの「HP CIFS Client での Kerberos の使用」 • 54 ページの「CIFS Client Kerberos 認証ポリシー」 • 55 ページの「パケット署名」 はじめに CIFS ファイル共有プロトコルの重要な特徴の 1 つは、セキュリティモデルです。CIFS Client 上のユーザーが CIFS Server のマウントポイントにアクセスするには、ユーザーはサーバーか ら認証を受ける ( サーバーにログインする ) 必要があります。ログイン方法は 4 つあります。ロ グイン方法については後で説明します。サーバーのファイルシステムでは、ファイルレベルまた はディレクトリレベルの制限も、サーバーによって行われます。 認証方法 HP CIFS Client は、以下の 2 つの認証プロトコルをサポートしています。この 2 つのプロトコ ルは、システム管理者が CIFS Client の設定ファイルに、グローバルまたはサーバーごとに設定 します。 • Windows NT LanManager (NTLM) と NTLMv2 NTLM は、チャレンジレスポンス方式の プロトコルです。サーバーは、クライアントにチャレンジキーを送信します。クライアント は、チャレンジキーをユーザーのパスワードで暗号化して、サーバーに返します。サーバー も同一の暗号化を行い、クライアントの要求が一致しているか確認します。ネットワーク上 で送信されるユーザーのパスワードは、読み取られないようになっています。HP CIFS Client は、NTLM と NTLM バージョン 2 (NTLMv2) をサポートしています。NTLMv2 は、 第3章 45 CIFS のセキュリティと認証 はじめに 同一のチャレンジレスポンス方式のプロトコルを使用していますが、NTLM より高度な暗号 化アルゴリズムも備えているため、NTLM より優れたパスワード保護を行うことができま す。 • Kerberos Kerberos は、ユーザーの代理として実行されるクライアントが、ネットワーク上 でデータを送信せずに、アプリケーションサーバーに対してユーザーの身元証明を行うこと ができる分散型認証サービスです。データが送信されないため、攻撃者がユーザーになりす ます可能性はありません。Kerberos は、NTLM プロトコルと比較して大幅に向上している 安全な業界標準の認証プロトコルです。 認証の設定 設定パラメータ authenticationMethod および ntlmEncryptionVersion は、HP CIFS Client の設定ファイルの server セクションにグローバルに指定されています。この 2 つのパラ メータは、設定ファイルのユーザー定義またはサーバーごとのセクションにも設定できます。以 下のサーバーごとの設定セクションを参照してください。この 2 つのパラメータは、CIFS Client が CIFS Server に対するユーザー認証に利用するメカニズムを選択するときに、使用し ます。 authenticationMethod パラメータ用の有効なエントリーは、ntlm または kerberos です。こ のパラメータのデフォルト値は、ntlm です。Kerberos を使用する場合は、以下のとおり設定し ます。 authenticationMethod = kerberos; この場合、CIFS Client は、CIFS Server と最初の接続のネゴシエーションを行うとき、 Kerberos を使用するように要求します。サーバーの応答が肯定の場合は、Kerberos のみがサー バーに対するユーザー認証に使用されます。サーバーの応答が否定の場合は、NTLM が使用さ れます。NTLM プロトコルが使用される場合、CIFS Client は、どの NTLM バージョンを使用 するか、ntlmEncryptionVersion の設定に基づいて決定します。 従来の Windows NT LAN Manager (NTLM) プロトコルを使用する場合は、 authenticationMethod パラメータに ntlm を設定します。この場合、CIFS Client は、どの NTLM バージョンを使用するか、ntlmEncryptionVersion の設定に基づいて決定します。 ntlmEncryptionVersion パラメータ用の有効なエントリーは、ntlm または ntlmv2 です。 Kerberos を使用しない CIFS Server に、NTLMv2 のパスワード暗号化のみを使用する場合は、 ntlmEncryptionVersion パラメータに ntlmv2 を設定します。NTLM のパスワード暗号化の みを使用する場合は、このパラメータに ntlm を設定します。デフォルトでは、 ntlmEncryptionVersion パラメータには、ntlm が設定されています。 46 第3章 CIFS のセキュリティと認証 はじめに サーバーごとの設定 CIFS Client は、サーバーごとにグローバル設定をオーバーライドする方法を備えています。た とえば、グローバルでは ntlmEncryptionVersion に NTLM を設定したままで、サーバー buildsys が NTLMv2 のみを使用できるようにする場合は、以下のセクションを作成します ( こ れは囲まれた "cifs" セクション内にあります、また CIFS Client の設定ファイルの末尾にある例 も参照してください )。 buildsys = { ntlmEncryptionVersion = ntlmv2; }; 第3章 47 CIFS のセキュリティと認証 ユーザーログイン手順 ユーザーログイン手順 • 明示的なログイン (cifslogin) CIFS Client 上のユーザーは、cifslogin コマンドを使用して、自分自身を CIFS Server に対 して明示的に認証できます。第 5 章 「コマンド行ユーティリティ」の cifslogin マンペー ジを参照してください。 • 自動ログイン CIFS Client は、マウントされている CIFS ファイルサーバーに自動アクセスする方法を備 えています。CIFS マウントポイントに対する初期のアクセス要求 (cd、ls など ) が行われる と、CIFS Client によってバックグラウンドでユーザーのログインが行われます。このバッ クグラウンドのログインが成功すると、ユーザーのアクセス要求が成功します。cifslogin コマンドは不要です。 CIFS Client の自動ログインポリシーは、以下のとおりです。 1. Kerberos: kinit および PAM Kerberos との統合 Kerberos 認証が設定され、ユーザーが Kerberos 資格のシステムキャッシュ内にチケッ ト認可チケット (TGT) を持っていて (TGT は、kinit(1) コマンドで明示的に作成され たもの、または PAM Kerberos で自動作成されたもの )、また、マウントされている CIFS Server に対して Kerberos を使用するようにネゴシエーションが行われた場合、 CIFS Client は、TGT を使用して自動ログインを実行します。CIFS Client で Kerberos 認証を使用する方法の詳細については、51 ページの「HP CIFS Client での Kerberos の 使用」を参照してください。 2. PAM NTLM との統合 PAM NTLM がシステムに (/etc/pam.conf に ) 設定されていて、ユーザーが PAM NTLM を使用して CIFS Client の HP-UX ホストにログインしている場合、CIFS Client は、ユーザーがキャッシュしている PAM NTLM 資格を使用して、ユーザーを CIFS Server に対して認証しようとします。PAM NTLM の詳細については、第 8 章を 参照してください。 3. ユーザーデータベース PAM NTLM 資格が見つからなくても、ユーザーのエントリーが CIFS Client ユーザー データベースにあれば、CIFS Client は、ユーザーデータベースにある暗号化パスワー ドを使用して、CIFS Server に対してユーザーログインを行おうとします。暗号化パス ワードを保存するために、まず手動でのログインが正常に実行されなければなりません。 48 第3章 CIFS のセキュリティと認証 ユーザーログイン手順 コマンド cifslogin -s または cifsdb で、ユーザーデータベースにエントリーを保存 できます。また、cifsdb -d コマンドで、ユーザーデータベースからエントリーを削除 できます。詳細については、マンページ cifslogin および cifsdb (67 ページの第 5 章 「コ マンド行ユーティリティ」) を参照してください。 注記 ユーザーデータベースを使用する自動ログインは、Kerberos ではサポー トされていません。 4. ゲストユーザー この機能を利用すると、マウントされた CIFS Server にログインしていない HP CIFS Client ホスト上のすべてのユーザーが、ゲストユーザーの権限で、サーバーのマウント ポイントにアクセスできます。第 7 章の guestRemoteUser パラメータの詳細も参照し てください。 ゲストユーザーの権限を設定するには、設定パラメータ guestRemoteUser および guestPassword にサーバー上の有効なアカウントのユーザー名およびパスワードを設定 します。当社は、ゲストユーザーのアクセス権限を制限できるように、サーバーに一般 的なゲストユーザーアカウントを設定することをお勧めします。この設定を行うと、 CIFS Server にログインしていない、CIFS Client の HP-UX ホスト上の UNIX ユー ザーは、マウントされている共有ディレクトリにアクセスしようとするとき、 cifslogin を明示的に実行せずに、ゲストユーザーとして自動アクセスするようになり ます。 第3章 49 CIFS のセキュリティと認証 Kerberos の紹介 Kerberos の紹介 Kerberos は、プリンシパル ( ユーザー ) の代理として動作するプロセス ( クライアント ) が、 データをネットワークに送信することなく、ベリファイア ( アプリケーションサーバーまたは単 なるサーバー ) に対してプリンシパルの身元証明を行うことを可能にする分散型認証サービスで す。データを送信しないので、送信後に攻撃者またはベリファイアがプリンシパルを装う可能性 を排除できます。Kerberos は、クライアントとサーバーとの間で送信されるデータの完全性と 機密性も確保するように設定することもできます。(B. Clifford Neuman、Theodore Ts'o 共著 『Kerberos: An Authentication Service for Computer Networks』) Kerberos は、マサチューセッツ工科大学 (MIT) で開発されました。 CIFS 環境で Kerberos を使用すると、これまで CIFS Client と CIFS Server で使用していた古 い NT LanManager (NTLM) プロトコルと比較して、セキュリティが大幅に向上します。 Kerberos の要件と制限事項 Kerberos 鍵配布センターと CIFS Server HP CIFS Client は、Windows 2000 および Windows 2003 の鍵配布センター (KDC) のみをサ ポートしています。 取得されないチケット このリリースでは、以下のタイプのチケットが HP CIFS Client で取得されません。 • Renewable • Proxiable • Forwardable 注記 50 cross-realm 認証は、このリリースではサポートされません。 第3章 CIFS のセキュリティと認証 HP CIFS Client での Kerberos の使用 HP CIFS Client での Kerberos の使用 HP CIFS Client で Kerberos を使用するには、以下の手順に従う必要があります。 手順 1. 基本的な Kerberos の動作原理を確認する 手順 2. Kerberos インフラストラクチャをセットアップして検証する 手順 3. HP CIFS Client に Kerberos を構成する 手順 1. 基本的な Kerberos の動作原理を確認する Kerberos の基本的な機能や動作については、以下に挙げる文献を参照してください。 これらの HP-UX リソースには、Kerberos の基本についての説明があります ( 各マニュアルの 「Overview」の章 )。ほとんどのインストールについては、これらで説明されているレベルの内 容を知っておけば十分です。 • 『Configuration Guide for Kerberos Client Products on HP-UX』 • 『Installing, Configuring and Administering the Kerberos Server on HP-UX 11i』 • 『Installing, Configuring and Administering the Kerberos Server V 2.0 on HP-UX 11i』 http://docs.hp.com で「kerberos」を検索すると、他の HP-UX リソースも見つかります。 以下の優れた文書に、Kerberos プロトコルについての詳細な説明があります。 • 『Kerberos: An Authentication Service for Computer Networks』(B. Clifford Neuman、 Theodore Ts'o 共著 ): http://www.isi.edu/gost/publications/kerberos-neuman-tso.html • Kerberos を開発したマサチューセッツ工科大学 の文献保管場所 : http://web.mit.edu/kerberos • Kerberos 仕様 RFC 1510。秀逸な紹介 ( セクション 1) とメッセージ交換の説明 ( セクション 3): http://ftp.rfc-editor.org/in-notes/rfc1510.txt 第3章 51 CIFS のセキュリティと認証 HP CIFS Client での Kerberos の使用 • Microsoft の Web サイトにも、理解の助けになる文書が多数あります。これらの文書のほとん どには、Windows コンピュータのネットワークでのセキュリティ設定に関する実用的な情 報も含まれています。kerberos や関連するトピックを検索してみてください。 http://www.microsoft.com ( 英語 ) http://www.microsoft.com/japan ( 日本語 ) 手順 2. Kerberos インフラストラクチャをセットアップして検証する HP CIFS Client で Kerberos を使用するためには、まず、(CIFS Client とは独立した )HP-UX ホストを含むネットワーク上に、作業用 Kerberos インフラストラクチャを設置する必要があり ます。作業用 Kerberos インフラストラクチャは、以下の要素から構成されています。 • 鍵配布センター (KDC) • Kerberos をサポートし、KDC のドメイン (Kerberos 用語では「領域 (realm)」) のメンバーで ある CIFS サーバー (1 台以上 ) • KDC 上でのユーザーアカウント (1 つ以上 ) • HP CIFS Client を実行するシステム上で正しく構成された HP-UX Kerberos Client 注記 ネットワーク上の Windows サーバーで、ドメインネームサーバー (DNS) をアク ティブにしておくことをお勧めします。接続する CIFS サーバーが KDC で認識 されるためには、Windows DNS テーブルでその CIFS サーバーを構成する必要 があります。 鍵配布センターを Windows 2000 または Windows 2003 のサーバーにセットアップする方法の 詳細は、Microsoft のマニュアルを参照してください。 Kerberos 経由で CIFS クライアントと接続する CIFS サーバーは、Windows ドメインに参加さ せる必要があります。その方法の詳細については、Windows のオンラインヘルプあるいは『HP CIFS Server 管理者ガイド』を参照してください。 ユーザーアカウントを Windows KDC にセットアップする方法の詳細は、オンラインヘルプで、 ユーザーのドメインアカウントを管理する方法を確認してください。 HP-UX Kerberos クライアントをセットアップする場合は、手順 1 で示した構成ガイドを参照し てください。次の HP-UX マンページにも、有用な情報があります。 kerberos(9)、krb5.conf(4)、kpasswd(1)、kinit(1)、klist(1)、kdestroy(1) 52 第3章 CIFS のセキュリティと認証 HP CIFS Client での Kerberos の使用 Kerberos インフラストラクチャの前述の各要素をセットアップし終わったら、次のチェックを 行うことにより、問題なく動作しているかどうかを確認できます。手順 3 に進む前に、必ずこの 確認を実行してください。 • ユーザーアカウントが KDC に正しくセットアップされていること、および KDC 上の Kerberos 認証サービスと HP-UX Kerberos クライアントとが正常に通信できることを確認 するために、次のコマンドを入力します。 $ kinit name name は、いずれかのユーザー名です。動作が正常であれば、name に対してチケット認可チ ケット (TGT) が発行されます。これが実際に行われていることを確認するために、klist コ マンドを実行して、システム Kerberos キャッシュに格納されているチケットの内容を表示 します。 • CIFSサーバーがKDCにメンバーサーバーとして正しく構成されていることを確認するには、 /opt/cifsclient/bin にあるテストプログラム cifsgettkt を実行します。 $ cifsgettkt -s server server は、いずれかの CIFS サーバーです。このコマンドは、kinit で取得した TGT を使 用して、チケット認可サーバー (TGS) にサービスチケット (ST) を要求します。cifsgettkt は、テスト目的でのみ使用されるので、これによってシステム Kerberos キャッシュは変更 されません。ただし、コンソールに情報メッセージが表示されます。 以上の確認で問題がなければ、CIFS クライアントと CIFS サーバーの Kerberos 認証は正常 に動作しているはずです。手順 3 に進むことができます。 手順 3. HP CIFS Client に Kerberos を設定する方法 設定パラメータ authenticationMethod に kerberos を設定します。設定は以下のとおりです。 authenticationMethod = kerberos; アクティブな CIFS のマウントとログインが、いずれもサーバーにないことを確認した後、48 ページの「ユーザーログイン手順」のとおりログインします。 Kerberos が使用されていることを確認するには、ログレベル、cifstrace、認証を有効にします。 ログレベルおよびログファイルの詳細については、91 ページの「CIFS Client のログファイルと ログレベル」を参照してください。Kerberos がユーザー認証用にネゴシエーションされ、また、 使用されていることを確認したら、cifstrace と認証のロギングを無効にします。 第3章 53 CIFS のセキュリティと認証 CIFS Client Kerberos 認証ポリシー CIFS Client Kerberos 認証ポリシー この項では、CIFS サーバーと CIFS クライアントが Kerberos を使用するようネゴシエーショ ンが行われたことを前提とします。 明示的なログイン : cifslogin Kerberos 認証は、このコマンドに透過的に実装されています。必要な Kerberos 資格 (TGT およ び ST) が、ユーザーの代理である KDC から取得され、SESSION_SETUP 要求の中でサービス チケット (ST) が CIFS サーバーに送信されます。ユーザーが実行するアクションは特にありま せん。 自動ログイン : システム Kerberos キャッシュ (kinit(1) および PAM Kerberos との統合 ) ユーザーは、この機能を使用することにより、cifslogin を使用せずにマウントされている CIFS サーバーにアクセスできます。kinit(1) または PAM Kerberos を使用して設定したチケッ ト認可チケット (TGT) がシステム Kerberos キャッシュにすでに存在する場合は、CIFS マウン トポイントへの直接アクセス (cd、ls など ) を試行することができます。CIFS Client は、TGT を使用して、マウントされている CIFS サーバー用のサービスチケット (ST) を取得し、CIFS ロ グインを実行します。これらはすべて、バックグラウンドで行われます。この場合、cifslogin を明示的に実行する必要はありません。 チケットの有効期限 チケットの最大有効期限は、KDC の設定によって制御されます。cifslogin の場合、CIFS ク ライアントは、TGT の有効期限として 30 日間を要求します。したがって、CIFS クライアント に対して発行される TGT の実際の有効期限は、30 日間か KDC で設定されている最大有効期限 のいずれか短い方になります。自動ログインの場合は、ユーザーの ST の有効期限と、システム キャッシュ内の TGT の有効期限が同じになります。 54 第3章 CIFS のセキュリティと認証 パケット署名 パケット署名 CIFS のパケット署名の目的は、中間者攻撃の防止です。クライアントとサーバーは、それぞれ の SMB パケット上に固有の署名を要求することで、互いを識別しています。以下の用語は、同 じ意味で使用されます。 • セキュリティ署名 • パケット署名 (packet signing) • パケット署名 (packet signatures) • デジタル署名 • メッセージ完全性 • メッセージ確認コード (MAC) パケット署名は、サーバー接続ごとに行われます。サーバーとの間でパケット署名のネゴシエー ションが完了したら、最初のユーザーログイン要求、また、その後の SMB パケットすべてに対 して、署名が必要になります。 HP CIFS Client にパケット署名を設定する方法 HP CIFS Client の設定ファイルに指定する設定パラメータ smbPacketSigning には、CIFS Client がパケット署名を行う方法を設定します。このパラメータ用の有効なエントリーは、 enabled、required、disabled です。デフォルトでは、このパラメータには、enabled が設 定されています。 パケット署名のネゴシエーションは、クライアントとサーバーの間で、最初の接続が確立したと きに、行われます。また、サーバーの設定は、enabled、required、disabled のいずれかで す。接続が正常に行われるには、表 3-1 のとおり、クライアントおよびサーバーの設定は同期し ている必要があります。 第3章 55 CIFS のセキュリティと認証 パケット署名 構成オプション 表 3-1 smbPacketSigning 用の設定オプション 有効なオプション 詳細 enabled CIFS Server が署名をサポートしている場合は、HP CIFS Client は、CIFS Server に接続し、パケット署名を行います。 CIFS Server が署名をサポートしていない場合は、HP CIFS Client は、CIFS Server に接続しますがパケット署名を行いませ ん。 required CIFS Server が署名をサポートしている必要があります。CIFS Server がパケット署名をサポートしていない場合は、CIFS Client は CIFS Server との接続の確立を拒否します。 disabled HP CIFS Client はパケット署名を無効にします。CIFS Server が署名を要求する場合は、CIFS Client は CIFS Server に接続で きません。 56 第3章 4 HP CIFS Client を A.01 から A.02 に移行す る方法 HP CIFS Client A.02.* には新しい機能が備わっていますが、ほとんどの場合、最小限の設定変 更のみでアップグレードすることができます。ただし、HP CIFS Client バージョン A.01.* と HP CIFS Client バージョン A.02.* の間では、設定パラメータおよびコマンドオプションに違い があります。本章では、CIFS Client の設定および更新を行うことができるように、違いだけで なく、更新手順も説明しています。本章は、以下のセクションから構成されています。 • 57 ページの「HP CIFS Client をバージョン A.01.* から A.02.* に移行する方法」 • 60 ページの「HP CIFS Client A.01.* と A.02.* での機能の違い」 • 61 ページの「HP CIFS Client A.01.* と A.02.* での設定の違い」 • 64 ページの「HP CIFS Client A.01.* と A.02.* でのコマンドオプションの違い」 HP CIFS Client をバージョン A.01.* から A.02.* に移行する方法 HP CIFS Client バージョン A.01.* ユーザー向けの特記事項 注記 この移行手順は、以下のユーザーを対象としています。 • CIFS Client バージョン A.01.* にダウングレードするユーザー • CIFS Client の変更した設定ファイルを使用するユーザー • CIFS Client データベースのマウントまたはユーザーのエントリーを利用する ユーザー CIFS Client バージョン A.01.* に使用されている設定ファイルおよびユーザーデータベースファ イルは、バージョン A.02.* では認識されません。HP CIFS Client バージョン A.01.* を使用し ていて cifsclient.cfg を変更している場合、または CIFS Client データベースにユーザーま たはマウントのエントリーがある場合は、CIFS Client をバージョン A.01.* からバージョン A.02.* に更新する前に以下の指示に従います。 第4章 57 HP CIFS Client を A.01 から A.02 に移行する方法 HP CIFS Client をバージョン A.01.* から A.02.* に移行する方法 A.01 でインストールしたデータを保存する方法 以下の手順で、設定ファイルとデータベースファイルを保存します。A.02 でエントリーを再作 成できるように、データベースに保存されているユーザーおよびマウントも、ASCII 形式の一覧 で保存されます。バージョン A.02 のデータベースエントリーの管理の詳細については、 cifsdb、cifsmount、cifslogin (67 ページの第 5 章 「コマンド行ユーティリティ」) のリ ファレンスを参照してください。 バージョン A.01 にダウングレードする場合は、データを保存すると、再利用することもできま す。 以下の手順で、設定ファイルとデータベースファイルを保存します。 手順 1. 以下のとおり、バックアップディレクトリを作成します。 $ cd /var/opt/cifsclient $ mkdir A.01_migration_files 手順 2. バックアップディレクトリに設定ファイルを保存します。変更した設定ファイルを使 用しない場合は、この手順を省略できます。 $ cp /etc/opt/cifsclient/cifsclient.cfg A.01_migration_files/A.01.cfg 手順 3. cifslist -U コマンドを使用して、データベースに保存されているユーザーレコード を ASCII 形式の一覧で作成し、バックアップディレクトリに保存します。データベー スにユーザーレコードがない場合は、この手順を省略できます (cifslist -U を使用 して確認します )。バージョン A.02 でユーザーデータベースエントリーを再作成する とき、この一覧をリファレンスとして表示できます。 $ cifslist -U > A.01_migration_files/A.01.udb.users.list 手順 4. cifslist -M コマンドを使用して、データベースに保存されているマウントレコード を ASCII 形式の一覧で作成し、バックアップディレクトリに保存します。データベー スにマウントレコードがない場合は、この手順を省略できます (cifslist -M を使用 して確認します )。バージョン A.02 でマウントデータベースエントリーを再作成する とき、この一覧をリファレンスとして表示できます。 $ cifslist -M > A.01_migration_files/A.01.udb.mounts.list 手順 5. CIFS Client データベースをバックアップディレクトリに保存します。上記の手順 3、 4 を省略した場合は、この手順も省略できます。 $ mv cifsclient.udb A.01_migration_files/A.01.ubd 58 第4章 HP CIFS Client を A.01 から A.02 に移行する方法 HP CIFS Client をバージョン A.01.* から A.02.* に移行する方法 注記 CIFS Client データベースは、特に、HP-UX ファイルシステムのデータベースの inode を使用して暗号化されています。暗号化は、データベースを他のコン ピュータに移行されないようにするセキュリティ対策です。そのため、CIFS Client バージョン A.01 にダウングレードする場合は、データベースの inode 番 号を保存する必要があります。保存しない場合は、CIFS Client はデータベース を復号化できません。inode 番号を保持できるようにするには、mv コマンドを使 用して、データベースを同じ論理ボリュームにバックアップする必要があります。 cp コマンド、また、ファイルの inode を変更する他の UNIX コマンドは、いず れも使用しないでください。CIFS Client データベースをバックアップするには、 mv コマンドを使用します。 バージョン A.01 にダウングレードする方法 HP CIFS Client のバージョンに、A.02 ではなく、A.01 を選択する場合は、以下の手順に従っ てバージョン A.01 の最新リリースにダウングレードします。 手順 1. バージョン A.02 を削除します ( 削除の完了後、システムが再起動されます )。 $ swremove -x autoreboot=true -x mount_all_filesystems=false B8724AA 手順 2. CIFS Client バージョン A.01 の最新リリースを http://www.hp.com/go/softwaredepot からダウンロードします。 手順 3. ダウンロードした CIFS Client のデポファイルをインストールします。インストール の詳細については、30 ページの「手順 2: HP CIFS Client ソフトウェアと PAM ソフ トウェアのインストール」を参照してください。 手順 4. 上記の 「A.01 でインストールしたデータを保存する方法」の手順 2 で、以前の設定 ファイルを保存している場合は、/etc/opt/cifsclient に復元します。 手順 5. 上記の「A.01 でインストールしたデータを保存する方法」の手順 5 で、以前のデータ ベースファイルを保存している場合は、/var/opt/cifsclient に復元します。デー タベースファイルを保存するには、上記の手順 5 のとおり、mv コマンドを使用する必 要があります。 第4章 59 HP CIFS Client を A.01 から A.02 に移行する方法 HP CIFS Client A.01.* と A.02.* での機能の違い HP CIFS Client A.01.* と A.02.* での機能の違い HP CIFS Client A.01.* と A.02.* での機能の違いは、以下のとおりです。 • HP CIFS Sever A.02.01 では、サーバーに最後にマウントしたポイントのマウント解除時で も、サーバーにログインしているユーザーがログアウトすることは一切ありません。HP CIFS Client A.01.x 以下のバージョンでは、最後の共有ディレクトリがマウント解除される と、ユーザーはログアウトします。システム管理者が共有ディレクトリのマウント解除およ び再マウントを行う必要がある場合、ユーザーは、バージョン A.02.01 の新しい機能を利用 すると自動的に再接続できます。 • HP CIFS Server A.02.01 では、cifslist コマンドを使用すると、共有ディレクトリおよび マウントポイントの情報に加えて state 情報も表示されます。 cifslist の出力内容に含まれる State シンボルの説明を以下に示します。 マウントの場合は、以下のとおりです。 M = マウント済み S = マウントデータベースに保存済み R = 読み取り専用 ユーザーの場合は、以下のとおりです。 L = ログイン済み S = ユーザーデータベースに保存済み 60 第4章 HP CIFS Client を A.01 から A.02 に移行する方法 HP CIFS Client A.01.* と A.02.* での設定の違い HP CIFS Client A.01.* と A.02.* での設定の違い 設定ファイルのコメント HP CIFS Client A.01.* では、複数のコメントタグが認識されていました。 HP CIFS Client A.02.* では、コメントは # 文字で始まります。# 文字から行末までの間にある テキストは、すべてコメントです。 設定パラメータの違い ここは、HP CIFS Client A.01.* と A.02.* での設定パラメータの違いを以下のとおり説明しま す。A.01.* と A.02.* のバージョン間で変更されていないパラメータには触れず、HP CIFS Client A.02.* で削除されたパラメータ、新しいパラメータ、パラメータ名の変更の一覧を記載 しています。CIFS の設定パラメータの詳細については、95 ページの「設定変数」を参照してく ださい。 削除された設定パラメータ HP CIFS Client A.02.* には使用されていない A.01.* の設定パラメータは、以下のとおりです。 • runAsUser • databaseFile • mtabName • maxOpenFiles パラメータ名の変更 表 4-1 は、HP CIFS Client A.02.* で名前が変更された、A.01.* の設定パラメータの一覧です。 表 4-1 パラメータ名の変更 A.01.* A.02.* allowSaving usersMayStoreSessionData netbiosName localNetbiosName nfsAttributeCaching nfsKernelCacheTime 第4章 61 HP CIFS Client を A.01 から A.02 に移行する方法 HP CIFS Client A.01.* と A.02.* での設定の違い 表 4-1 パラメータ名の変更 ( 続き ) A.01.* A.02.* authenticationLevel authenticationMethod dirDefaultLinks fakedDirLinks dirSize fakedDirSize guestUser guestRemoteUser 新しい設定パラメータ HP CIFS Client A.02.* の logLevels セクション用の新しい設定パラメータは、以下のとおり です。 • smbConnect • uiTrace • nbnsTrace • diskarb • authentication HP CIFS Client A.02.* の Global セクション用の新しい設定パラメータは、以下のとおりです。 • corefileLimit • networkInterfaces • bindUdpExplicitly • pagePoolInitialSize HP CIFS Client A.02.* の nfs3 固有の新しい設定パラメータは、以下のとおりです。 • cacheFiles • cacheOpenFiles • changeMicrosecondFileTimes • nfsKernelCacheTime • preferredPort 62 第4章 HP CIFS Client を A.01 から A.02 に移行する方法 HP CIFS Client A.01.* と A.02.* での設定の違い HP CIFS Client A.02.* の cifs 固有の新しいパラメータは、以下のとおりです。 • databaseParseInterval • initialDataCaches • initialDirCaches • bindNbnsPort • bindNbdgsPort • lookupTryNetbios • lookupTryDns • nbnsWinsIp • nbnsInitialTimeout • nbnsTotalTimeout • nbnsCacheTime HP CIFS Client A.02.* の server 固有の新しいパラメータは、以下のとおりです。 • ntlmEncryptionVersion • guestPassword • allowHardLinks • hardlinkUseRemoteCopy • fileModeMask • dirModeMask • ctimeIsCreate • smbPacketSigning 第4章 63 HP CIFS Client を A.01 から A.02 に移行する方法 HP CIFS Client A.01.* と A.02.* でのコマンドオプションの違い HP CIFS Client A.01.* と A.02.* でのコマンドオプションの違い このセクションでは、HP CIFS Client A.01.* と A.02.* でのコマンドオプションの違いを以下の 表のとおり説明します。以下の表では、A.01.* と A.02.* のバージョン間で変更されていないコ マンドオプションには触れません。コマンドの詳細については、67 ページの第 5 章 「コマンド 行ユーティリティ」を参照してください。 cifsmount 表 4-2 は、A.01.* と A.02.* での cifsmount コマンドのオプションの違いを表しています。 表 4-2 cifsmount A.01.* A.02.* コメント -cclient_netbios_name 設定パラメータのみ : localNetbiosName 設定ファイルに移行しました。 -ptcp_port 設定パラメータのみ : bindNbnsPort 設定ファイルに移行しました。 -I ipAddress または hostname 設定パラメータ : ipAddress 設定ファイルに移行しました。 設定パラメータのみ : domain -D domain A.02.* では、-D オプションと設定パラ メータに実装されています。 mount_cifs 表 4-3 は、A.01.* と A.02.* での mount -F cifs コマンドのオプションの違いを表しています。 表 4-3 mount_cifs A.01.* A.02.* コメント -o nbname= A.02.* では、設定ファイルに移行しま した。 -o port= A.02.* では、設定ファイルに移行しま した。 64 第4章 HP CIFS Client を A.01 から A.02 に移行する方法 HP CIFS Client A.01.* と A.02.* でのコマンドオプションの違い 表 4-3 mount_cifs ( 続き ) A.01.* A.02.* コメント -o domain= A.02.* の新しいオプションです。 HP CIFS Client A.02.* で削除されま した。常に true です。 -o forcemnt cifslist 表 4-4 は、A.01.* と A.02.* での cifslist コマンドのオプションの違いを表しています。 表 4-4 cifslist A.01.* A.02.* コメント -r A.02.* の新しいオプションです。 -s A.02.* の新しいオプションです。 -s server, -m share -m ( 引き数なし ) -u server -u ( 引き数なし ) A.02.* で削除されました。 -A, -S -x -U, -M 第4章 A.02.* の新しいオプションです。 A.02.* で削除されました。常に true です。 65 HP CIFS Client を A.01 から A.02 に移行する方法 HP CIFS Client A.01.* と A.02.* でのコマンドオプションの違い cifslogin 表 4-5 は、A.01.* と A.02.* での cifslogin コマンドのオプションの違いを表しています。 表 4-5 cifslogin A.01.* A.02.* コメント コマンド行に入力される ユーザー名 -U username A.02.* では、-U オプションを付けて も付けなくても、ユーザー名を指定で きます。 -D domain A.02.* の新しいパラメータを使用する と、設定値をオーバーライドできま す。 cifsdb 表 4-6 は、A.02.* に実装されている新しいコマンド cifsdb を表しています。 表 4-6 cifsdb A.01.* A.02.* コメント cifsdb server cifsdb -d server cifsdb mount_point cifsdb -d mount_point 66 第4章 5 コマンド行ユーティリティ この章では、CIFS Client のコマンド行ユーティリティを説明します。 HP CIFS Client ソフトウェアパッケージは、以下のプログラムで構成されています。 cifsclient CIFS クライアントを停止および起動します。 cifsmount リモートサーバーのディレクトリをマウントします。 cifslogin リモートサーバーに対するユーザー認証を行います。 cifsumount どこにもマウントされていないローカルマウントポイントがあれば、サーバー から切断します。 cifslogout 指定されたサーバーからユーザーログインセッションとサーバーの共有ディレ クトリを切断します。ログアウト後、ユーザーは指定されたサーバーのファイ ルには一切アクセスできません。 cifslist 接続されたサーバー、マウントポイント、マウントされた共有ディレクトリな どをリストします。 cifsdb CIFS Client データベースにエントリーの追加、変更、削除を行います。エン トリーによって、CIFS のマウントおよびログインの自動実行が可能になりま す。 mount_cifs mount(1M) で CIFS ファイルシステムをマウントします。 umount_cifs umount(1M) で CIFS ファイルシステムをマウント解除します。 上記の各ユーティリティは、単一のパラメータとして指定する場合、-h オプションと -v オプ ションを指定できます。-h オプションを指定すると、標準エラーに短いヘルプが出力され、-v オプションは標準出力に現在のバージョン番号が出力されます。 第5章 67 コマンド行ユーティリティ cifsclient cifsclient 構文 cifsclient {command} cifsclient fuser [-v] mountpoint [...] cifsclient force_umount {mountpoint [...]| -a} 説明 このシェルスクリプトは、HP CIFS Client を起動および停止します。また、その他の有用なタ スクを実行します。root 権限を持つユーザーだけが、start、stop、restart、fuser、 force_umount を実行できます (klist と kdestroy の -a オプションも参照 )。すべてのユー ザーが実行できるのは、status、klist、kdestroy、ver です。追加コマンドがない cifsclient は、cifsclient start と等価です。 コマンド start デーモンを起動します。 stop デーモンをシャットダウンします。 restart 停止し、1 秒休止してから、起動します。 status デーモンの情報を表示します。 klist [-a] コマンドを実行したユーザーのすべての CIFS Client Kerberos 資格ファイル の内容を表示します。このコマンドは、すべてのユーザーの資格ファイルに対 して klist(1) を実行するショートカットを提供します。各ファイルに対応す る -c {filename} オプションが自動的に付加されます。-a を指定すると、す べてのユーザーのエントリーが一覧表示されます (root のみ使用可能 )。CIFS Client Kerberos 資格ファイルは、構成パラメータ rmTmpKerbCredFiles が no に設定されている場合のみ、システム上に作成されます。ファイルの場所 は /var/opt/cifsclient/krb5_tmp です。 68 第5章 コマンド行ユーティリティ cifsclient kdestroy [-a] kdestroy(1) を使用して、実行したユーザーのすべての CIFS Client Kerberos 資格ファイルを消去します。単一の CIFS Kerberos 資格ファイルを 消去する場合は、kdestroy(1) を直接使用し、-c {filename} オプションを 指定します。CIFS Client Kerberos 資格ファイルは、 /var/opt/cifsclient/krb5_tmp にあります。これらのファイルは、構成パラ メータ rmTmpKerbCredFiles が no に設定されている場合のみ、システム上 に作成されます。-a を指定すると、すべてのユーザーの全ファイルが削除さ れます (root のみ使用可能 )。 ver [-v] バージョン情報を表示します。以下の修飾子も使用できます。 -v 冗長。バイナリ、スクリプト、構成ファイルの what(1) 文字列を表示しま す。 fuser [-v] mount_point [...] CIFS ファイルシステムの特定のマウントポイントとそのサブディレクトリの それぞれに対し、fuser -fu (fuser(1M) を参照 ) を実行します。これは、マ ウント解除が「Device busy」メッセージで失敗した場合に、そのマウントに どのユーザーがアクセスしているかを判別するのに便利です。このコマンドを 有効にするためには、そのマウント済み CIFS ファイルサーバーにログインし ている必要があります。-v は冗長出力を生成します ( すべてのサブディレク トリが表示されます )。-v が指定されない場合は、ユーザープロセスがアク ティブであるディレクトリだけが表示されます。注記 : このコマンドの実行に 要する時間は、マウントされたファイルシステム内のエントリー数に比例しま す。 force_umount {mount_point [...]|-a} 特定のマウントポイントを強制的にマウント解除します。これは、以下の通常 の umount コマンドが失敗した場合のみ使用される非常用手続きです。 umount mount_point または cifsumount mount_point -a アクティブではなくなった CIFS マウントポイントを、すべて強制的にマ ウント解除します。 CIFS Client がダウンしないかぎり、使用できません。 第5章 69 コマンド行ユーティリティ cifsclient ファイル /etc/opt/cifsclient/cifsclient.cfg このファイルには、HP CIFS Client のランタイム設定オプションが指定されています。詳細は、 第 7 章を参照してください。 /var/opt/cifsclient/krb5_tmp/krb5cc_server_uid 一時 CIFS Client Kerberos 資格ファイル。server はユーザーが認証された CIFS サーバーの名 前、uid はユーザーの 10 進数の UID です。 参照 cifsmount, fuser(1M), kdestroy(1), klist(1), mount_cifs, umount_cifs 70 第5章 コマンド行ユーティリティ cifsmount cifsmount mount コマンドを使用すると、cifsmount コマンドと同様の処理を実行できます。mount コマ ンドの使い方についての詳細は、84 ページの「mount_cifs、umount_cifs」を参照してくださ い。ここでは、cifsmount コマンドの使い方について説明します。 構文 cifsmount [options] //server/share mount_point 説明 cifsmount コマンドを使用すると、リモートの共有ディレクトリをローカルのファイルシステ ムにマウントできます。このコマンドは、server の share をローカルのファイルシステムの mount_point にマウントします。mount_point には、既存のディレクトリを指定する必要があ ります。パスワードの入力を求めるプロンプトが表示されたら、ユーザー名とパスワードを指定 すると、サーバーにログインできます。ユーザーがすでに特定のサーバーにログインしている場 合は、パスワードの入力を求めるプロンプトは表示されません。-N オプションを指定すると、 パスワードの入力を求めるプロンプトを省略できます。 root 権限を持ったユーザーのみが、cifsmount コマンドを実行してファイルシステムをマウン トできます。 オプション -r 読み取り専用のファイルシステムとしてマウントします。 -U username このユーザー名でサーバーにログインします。デフォルトでは、HP CIFS Client は、cifsmount コマンドを実行したユーザーのログイン名と同じユー ザー名でサーバーにアクセスします。サーバーで別のユーザー名が使用されて いる場合は、このオプションを使用してユーザー名を設定できます。このパラ メータは、ユーザーがすでにサーバーにログインしている場合は無視されま す。 -D domain このドメイン名を CIFS Server に送信します。 第5章 71 コマンド行ユーティリティ cifsmount -P password コマンド行で指定されるパスワードです。すべてのコマンド行パラメータが ps コマンドの出力で表示されることがあるため、必要な場合以外はこのオプ ションを使用しないでください。このオプションにより、動的に生成されたパ スワードがサーバーに渡される可能性があります。このパスワードは、ユー ザーがすでにサーバーにログインしている場合は無視されます。 -S 標準入力からパスワードを読み取ります。このオプションは、シェルスクリプ トまたは他のプログラムで cifsmount を使用する場合に有益です。UNIX コ マンド ps を実行した際に実行中のプロセスのコマンド行パラメータが表示さ れるため、-P オプションを使用するとパスワードが表示され危険です。 -N パスワード入力のプロンプトを表示しません。このオプションは、パスワード が設定されていないユーザーが、パスワード入力を求めるプロンプトを回避す るために使用できます。 -I ipaddress この IP アドレスだけを、サーバーへの接続に使います。この設定により、 CIFS Client は、このマウント要求に対するすべての名前解決処理を省略し、 cifsclient.cfg に構成されている対応するエントリーを無効とします。 -u プレーンテキストのパスワードを使用できるようにします。HP CIFS Client では、セキュリティ上の危険性があるため、デフォルトでプレーンテキストの パスワードをサーバーに送信できないようになっています。これは、プレーン テキストのパスワードを狙ったネットワークのスニッフィングが可能なツール が存在するためです。パスワードをプレーンテキストで送信しなければならな い場合 ( たとえば、サーバーがパスワードの暗号化をサポートしていないよう な場合 ) は、このオプションを使用します。このパラメータは、ユーザーがす でにサーバーにログインしている場合は無視されます。 -f マウントを強制的に実行します。このオプションを使用すると、サーバーが応 答しない場合でもマウントが実行されます。要求がサーバーに送信されること はありません。したがって、パラメータの有効性はチェックされません。 -v バージョン情報を出力します。 -s マウントとパスワードに関する情報をデータベースに保存します。このコマン ドは、セキュリティに対する影響をよく理解してから使用してください。HP CIFS Client では、マウント、ユーザー名、およびパスワードに関する情報を データベースに保持しておくことができます。このデータベースは、システム の起動時に、保存されている情報に基づいてディレクトリを再マウントした り、ユーザーがそのクライアントにログインしていない場合でも、必要に応じ てログインできるようにするために使用されます。 72 第5章 コマンド行ユーティリティ cifsmount このオプションは、自動マウントを実行する場合や、パスワード入力をユー ザーに要求しない cron によりプログラムが実行される場合に、便利なことが あります。パスワードは、HP CIFS Client のユーザーデータベースファイル に保存されます。HP CIFS のパスワードのハッシュ値 ( これはパスワードそ のものと機能的には同じです ) をこのファイルから取得することはできます が、そのファイルの情報だけでは十分ではありません。 このオプションを安全に使用することができるのは、使用しているマシンに root ユーザーとして物理的にアクセスすることが可能な場合、またはそのマ シンへの物理的なアクセスが可能なすべてのユーザーを信頼できる場合に限ら れます。HP CIFS Client では、暗号化されていないパスワードはユーザー データベースに保存されません。サーバーが暗号化されたパスワードをサポー トしていない場合は、このオプションは使用できません。 例 以下のコマンドにより、サーバー bigserver の共有ディレクトリ entiredisk は、ローカルの マウントポイント /mounts/bigserver に読み取り専用のファイルシステムとしてマウントされ ます。 cifsmount -r //bigserver/entiredisk /mounts/bigserver ファイル cifsmount -s コマンドで表示されるマウント情報は、HP CIFS Client データベースファイル /var/opt/cifsclient/cfgdb.ppl. に保存されます。このファイルのパスは設定できません。 参照 cifslogin、cifsumount、cifslogout、cifslist 第5章 73 コマンド行ユーティリティ cifslogin cifslogin 構文 cifslogin [options] server cifslogin [options] //server/share 説明 cifslogin コマンドは、新しいユーザーをサーバーで認証するために使用されます。認証され たユーザーだけが、マウントされたファイルにアクセスできます。各ユーザーは、サーバーの ファイルに、与えられた権限に従ってアクセスできます。ローカルとリモートのユーザー名は、 一対一 ( 多対一 ) でマッピングされている必要があるため、各ユーザーは所定のサーバーに 1 度 しかログインできません。デフォルトでは、cifslogin コマンドにより、ユーザーのログイン 名がサーバーに送信されます。-U オプションを使用すると、ユーザー名を指定できます。 オプション -P password コマンド行に指定されるパスワードです。すべてのコマンド行パラメータは ps コマンドの出力で表示できるため、本当に必要な場合以外はこのオプショ ンを使用しないでください。このオプションにより、動的に生成されたパス ワードがサーバーに渡される可能性があります。このパスワードは、ユーザー がすでにサーバーにログインしている場合は無視されます。 -U username このユーザー名でサーバーにログインします。 -D domain サーバーに送信されるドメイン名を指定します。 -S 標準入力からパスワードを読み取ります。このオプションは、シェルスクリプ トまたは他のプログラムで cifslogin を使用する場合に有益です。UNIX コ マンド ps を実行した際に実行中のプロセスのコマンド行パラメータが表示さ れるため、-P オプションを使用するとパスワードが表示され危険です。 74 第5章 コマンド行ユーティリティ cifslogin -N パスワード入力のプロンプトを表示しません。このオプションは、ユーザーが すでにサーバーにログインしている場合や、ユーザーのパスワードが設定され ていない場合に、パスワード入力を求めるプロンプトを回避するために使用で きます。 -u プレーンテキストのパスワードを使用できるようにします。HP CIFS Client では、セキュリティ上の危険性があるため、デフォルトでプレーンテキストの パスワードをサーバーに送信できないようになっています。これは、プレーン テキストのパスワードを狙ったネットワークのスニッフィングが可能なツール が存在するためです。パスワードをプレーンテキストで送信しなければならな い場合 ( たとえば、サーバーがパスワードの暗号化をサポートしていないよう な場合 ) は、このオプションを使用します。このパラメータは、ユーザーがす でにサーバーにログインしている場合は無視されます。 -f マウントを強制的に実行します。このオプションを使用すると、サーバーが応 答しない場合でもログインが実行されます。要求がサーバーに送信されること はありません。したがって、パラメータの有効性はチェックされません。 -s パスワードをデータベースに保存します。このコマンドは、セキュリティに対 する影響をよく理解してから使用してください。このオプションを使用して、 マウント、ユーザー名、およびパスワードに関する情報をデータベースに保持 しておくことができます。このデータベースは、システムの起動時に、保存さ れている情報に基づいてディレクトリを再マウントしたり、ユーザーがそのク ライアントにログインしていない場合でも、必要に応じてログインできるよう にするために使用されます。 このオプションは、自動マウントを実行する場合や、パスワード入力をユー ザーに要求しない cron によりプログラムが実行される場合に、便利なことが あります。パスワードは、HP CIFS Client のユーザーデータベースファイル に保存されます。CIFS のパスワードのハッシュ値 ( これはパスワードそのも のと機能的には同じです ) をこのファイルから取得することはできますが、そ のファイルの情報だけでは十分ではありません。 このオプションを安全に使用することができるのは、使用しているマシンに root ユーザーとして物理的にアクセスすることが可能な場合、またはそのマ シンへの物理的なアクセスが可能なすべてのユーザーを信頼できる場合に限ら れます。HP CIFS Client では、暗号化されていないパスワードはユーザー データベースに保存されません。サーバーが暗号化されたパスワードをサポー トしていない場合は、このオプションは使用できません。 第5章 75 コマンド行ユーティリティ cifslogin 例 ローカルユーザー steve が、サーバー bigserver の共有ファイルをマウントしたとします。ロー カルユーザー bill は、そのサーバーにログインしていないため、マウントされたファイルにアク セスできません。ユーザー bill は、miller ( 本名 ) として bigserver にアカウントを持っているの で、以下のように入力して共有ファイルにアクセスできます。 cifslogin bigserver -U miller bill はパスワードの入力を求められます。正しいパスワードが入力されると、bill は、サーバー bigserver に対してユーザー miller に与えられているのと同じ権限で、その共有ファイルにアク セスできるようになります。 ファイル ユーザー名、パスワードに関する情報は、暗号化されて HP CIFS Client のユーザーデータベー スファイルに保存されます。このユーザーデータベースファイルのパスは、HP CIFS Client の 設定ファイルで指定できます。デフォルトのパスは、以下のとおりです。 /var/opt/cifsclient/cifsclient.udb 参照 cifsmount、cifsdb、cifslogout、cifslist 76 第5章 コマンド行ユーティリティ cifsumount cifsumount umount コマンドを使用すると、cifsumount コマンドと同様の処理を実行できます。以下の説 明は、どちらのコマンドにも当てはまります。 構文 cifsumount [options] mount_point cifsumount -a 説明 cifsumount コマンドを使用すると、cifsmount コマンドによる共有ディレクトリのマウントを 解除できます。共有ディレクトリのマウントを解除できるのは、所定のマウントポイントでマウ ントを実行したユーザーか、スーパーユーザーだけです。2 番目の構文例のように、-a オプショ ンを指定すると、現在有効なすべてのマウントが解除されます。 HP CIFS Sever A.02.* では、サーバーに最後にマウントしたポイントのマウント解除時でも、 サーバーにログインしているユーザーがログアウトすることは一切ありません。このため、シス テム管理者が共有ディレクトリのマウント解除および再マウントを行う必要がある場合、自動的 に再接続できます。 cifsumount コマンドを実行してファイルシステムのマウントを解除できるのは、root の権限 を持ったユーザーだけです。 オプション -a CIFS ファイルシステムをすべてマウント解除します。 -f マウントを強制的に解除します。要求はサーバーに送信されません ( したがっ て、サーバーがダウンしている場合でも使用できます )。 参照 cifsmount、cifslist、mount_cifs、umount_cifs 第5章 77 コマンド行ユーティリティ cifslogout cifslogout 構文 cifslogout server 説明 cifslogout コマンドを使用すると、指定されたサーバーの外部からコマンドを実行したユー ザーを記録しておくことができます。cifslogout コマンドの実行後は、ユーザーデータベース にアカウント情報が保存されていないユーザーは、サーバーのすべてのファイルにアクセスでき なくなります。 参照 cifslogin、cifslist 78 第5章 コマンド行ユーティリティ cifslist cifslist 構文 cifslist [options] 説明 cifslist コマンドを使用すると、HP CIFS Client の内部テーブルを表示できます。HP CIFS Client A.02.* では、オプションを省略して cifslist コマンドを実行すると、共有ディレクト リおよびマウントポイントの情報だけではなく接続済みのサーバーもすべてリストされます。 オプション -h 簡潔なヘルプを表示し、終了します。 -u ユーザーのみをリストします。 -m マウントのみをリストします。 -x 以下のとおり、UNIX 形式でマウント済みのオブジェクトを表示します。 server:/share -r 出力をそのまま表示します。 -s separator テーブルエントリーの分割に使用される文字列 (-r を付けて使用したときのみ 認識される ) を設定します。 cifslist の出力例 オプション -x、-u、-m を付けた場合の cifslist の出力例を説明します。 cifslist cifslist コマンドの出力例は、以下のとおりです。 $ cifslist Mounted Object Mountpoint State ------------------------------------------------------------\\er721142\pub /mnt/cifs_linux/00 M 第5章 79 コマンド行ユーティリティ cifslist \\er721141\pub /mnt/cifs_nt/00 M \\hpntc43\pub /mnt/cifs_nt/01 MS ============================================================= Server Local User Remote User Domain State -------------------------------------------------------------er721141 root cifsuser L er721142 root john L hpntc43 root cifsuser WORKGROUP LS 上記の例では、オプションを省略して cifslist マンドを実行すると、共有ディレクトリおよ びマウントポイントの情報だけでなく、サーバーも表示されます。このコマンドでは、マウント 済みのオブジェクトに対して、\\server\share という形式が使用されます。 以下に、cifslist の出力の State シンボルを説明します。 マウントの場合は、以下のとおりです。 M = マウント済み S = マウントデータベースに保存済み R = 読み取り専用 ユーザーの場合は、以下のとおりです。 L = ログイン済み S = ユーザーデータベースに保存済み cifslist -x cifslist -x コマンドの出力例は、以下のとおりです。 $ cifslist -x Mounted Object Mountpoint State ------------------------------------------------------------er721142:/pub /mnt/cifs_linux/00 M er721141:/pub /mnt/cifs_nt/00 M hpntc43:/pub /mnt/cifs_nt/01 MS ============================================================= Server Local User Remote User Domain State -------------------------------------------------------------er721141 root cifsuser L er721142 root john L hpntc43 root cifsuser WORKGROUP LS 80 第5章 コマンド行ユーティリティ cifslist 上記の例では、HP CIFS Client は、マウント済みのオブジェクトに対して、server:/share と いう UNIX 形式で、共有ディレクトリおよびマウントポイントの情報だけでなく、サーバーも 表示します。 cifslist -u cifslist -u コマンドの出力例は、以下のとおりです。 $ cifslist -u Server Local User Remote User Domain State ------------------------------------------------------------er721141 root cifsuser L er721142 root john L hpntc43 root cifsuser WORKGROUP LS cifslist -m cifslist -m コマンドの出力例は、以下のとおりです。 $ cifslist -m Mounted Object Mountpoint State ------------------------------------------------------------\\er721142\pub /mnt/cifs_linux/00 M \\er721141\pub /mnt/cifs_nt/00 M \\hpntc43\pub /mnt/cifs_nt/01 MS 上記の例では、HP CIFS Client は、マウント済みのオブジェクトに対して、\\server\share という形式を使用します。 第5章 81 コマンド行ユーティリティ cifsdb cifsdb 構文 cifsdb [-d] {mount_point|server} 説明 cifsdb コマンドは、CIFS Client データベースに対するエントリーの追加、変更、削除に、使 用されます。以下に示すとおり、エントリーによって CIFS のマウントおよびログインの自動実 行が可能になります。 CIFS に対するマウント CIFS Server 上の共有ディレクトリが mount_point にマウントされた場合は、CIFS Client の 起動時に必ずマウントが再実行されるように、cifsdb mount_point によって、マウントポイ ント名、サーバー名、共有ディレクトリ名、および、その他の関連情報が CIFS Client マウント データベースファイル /var/opt/cifsclient/cfgdb.ppl に保存されます。このマウントポイントの エントリーがデータベースにすでにある場合は、エントリーが置き換えられます。mount_point は絶対パスである必要があります。 root 権限を持ったユーザー以外は、CIFS マウントデータ ベースエントリーを管理できません。 HP CIFS Client は、UNIX の標準的な /etc/fstab メカニズムと同じ機能をサポートしていま す。詳細については、39 ページの「/etc/fstab の使用」または fstab(4) を参照してください。 CIFS ログイン ユーザーが NTLM 認証プロトコルを通じて server に対する CIFS ログインセッションを確立 している場合は、ユーザーが cifsdb server を実行した後 server に自動的にログインできる ように、ログインセッションに関連するユーザーのパスワード、およびその他の情報の NTLM ハッシュは、暗号化されてから CIFS Client ユーザーデータベース cifsclient.udb に保存されま す。このユーザーとサーバーの組み合わせのエントリーがデータベースにすでにある場合は、エ ントリーが置き換えられます。 Kerberos で認証された CIFS ログインの場合、ユーザーの NTLM パスワードハッシュは CIFS Client ユーザーデータベースに保存されません。45 ページの第 3 章 「CIFS のセキュリティと 認証」のとおり、 kinit(1) または PAM-KERBEROS を使用すると、Kerberos で自動 CIFS ロ グインを確立できます。 82 第5章 コマンド行ユーティリティ cifsdb オプション -d {mount_point|server} この mount_point または server に該当するエントリーをデータベースから 削除します。マウントとログインの両方は、削除する必要のあるエントリーに 対してはアクティブである必要がありません。 ファイル /var/opt/cifsclient/cifsclient .udb CIFS ユーザーデータベースファイル /var/opt/cifsclient/cfgdb.ppl CIFS マウントデータベースファイル 参照 cifsmount、cifslogin、cifslist 第5章 83 コマンド行ユーティリティ mount_cifs、umount_cifs mount_cifs、umount_cifs CIFS ファイルシステムをマウント / マウント解除します。ここでは、ファイルシステムタイプ として CIFS ファイルシステムを指定した場合の mount コマンドと umount コマンドの使用方法 について説明します。 構文 mount -F cifs [-ar] [-o fs_specific_option[,...]] [server:/share mount_point] umount -aF cifs | mount_point 説明 mount コマンドを使用すると、ファイルシステムをマウントできます。ただし、ファイルシステ ムをマウントすることができるのはスーパーユーザーだけです。他のユーザーは、mount コマン ドを使用して、マウントされたファイルシステムのリストを表示できます。cifslist コマンド を使用すると、CIFS ファイルシステムのマウントとユーザーの接続の状況を表示できます。 mount コマンドは、server:/share を mount_point にマウントします。server は、リモート システム、share は、リモートシステムのディレクトリ、mount_point は、ローカルシステム のファイルツリーのディレクトリです。mount_point には、既存のディレクトリの絶対パス名 を指定する必要があります。このパス名は、新しくマウントされるファイルシステムのルートの 名前になります。 mount コマンドが引き数なしで実行された場合は、ファイルシステムのマウントテーブル /etc/mnttab の、マウント済みのファイルシステムがすべてリストされます。 umount コマンドは、現在マウントされているファイルシステムのマウントを解除します。スー パーユーザー以外は、ファイルシステムのマウントを解除できません。 HP CIFS Sever A.02.01 では、サーバーに最後にマウントしたポイントのマウント解除時でも、 サーバーにログインしているユーザーがログアウトすることは一切ありません。ユーザーは、共 有ディレクトリのマウント解除および再マウントを行う必要がある場合、この新しい機能を利用 すると、自動的に再接続できます。 84 第5章 コマンド行ユーティリティ mount_cifs、umount_cifs オプション -F cifs ファイルシステム固有の識別子です。この識別子は、CIFS ファイルシステム のマウント / マウント解除には必ず必要ですが、umount マウントポイントの 形式でコマンドを実行する場合は、必要ありません。 -a mount コマンドとともに指定されるオプションで、/etc/fstab ファイルに定義 されているすべての CIFS ファイルシステムをマウントします。また、 umount とともに指定されると、現在マウントされているすべての CIFS ファイルシステムのマウントを解除します。 -r 読み取り専用でマウントします。 -o このクラスのオプションは、以下の構文で指定します。 -o keywrd[,keywrd...],keywrd=value[,keywrd=value...] keywrd は、キーワードと値を組み合わせて指定するものと、そうでないもの があります。-o のオプションを指定する場合は、コンマで区切る必要があり ますが、空白で区切ることはできません。以下に例を示します。 -o ro,username=fulton,password=pokey 以下は、CIFS Client によりサポートされている、mount コマンドの -o オプ ションです ( 値が必要なキーワードは、" キーワード = 値 " の形式で表してい ます )。 ro 読み取り専用のファイルシステムとしてマウントします。 domain=domain このドメイン名をサーバーに送信します。 username=username サーバーに送られるユーザー名です。デフォルトでは、HP CIFS Client は、ユーザーのログイン名と同じユーザー名で サーバーにアクセスします。サーバーで別のユーザー名が使 用されている場合は、このオプションを使用してユーザー名 を設定できます。このパラメータは、ユーザーがすでにログ インしている場合は無視されます。このオプションは、 password オプションと一緒に使わなくてはなりません。 password=password コマンド行で指定される、username のパスワードです。す べてのコマンド行パラメータが ps コマンドの出力で表示さ れることがあるため、必要な場合以外はこのオプションを使 用しないでください。このオプションにより、動的に生成さ 第5章 85 コマンド行ユーティリティ mount_cifs、umount_cifs れたパスワードがサーバーに渡される可能性があります。パ スワードは、ユーザーがすでにサーバーにログインしている 場合は無視されます。このオプションは、username オプ ションと一緒に使わなくてはなりません。 ipaddr=ipaddress この IP アドレスだけを、サーバーへの接続に使います。こ の設定により、CIFS Client は、このマウント要求に対する すべての名前解決処理を省略し、cifsclient.cfg に構成 されている対応するエントリーを無効とします。 plaintxt プレーンテキストのパスワードを使用できるようにします。 HP CIFS Client では、セキュリティ上の危険性があるた め、デフォルトでプレーンテキストのパスワードをサーバー に送信できないようになっています。これは、プレーンテキ ストのパスワードを狙ったネットワークのスニッフィングが 可能なツールが存在するためです。パスワードをプレーンテ キストで送信しなければならない場合 ( たとえば、サーバー がパスワードの暗号化をサポートしていないような場合 ) は、このオプションを使用します。このパラメータは、ユー ザーがすでにサーバーにログインしている場合は無視されま す。 ファイル /etc/mnttab マウントされたファイルシステムのテーブルです。 /etc/fstab 各 CIFS ファイルシステムのデフォルトのパラメータのリストです。 参照 mount (1M)、umount(1M)、cifslogin、cifsumount、cifslogout、cifslist 86 第5章 6 トラブルシューティングとエラーメッセー ジ この章には、HP CIFS Client の使用時に発生する可能性がある問題についての情報と、HP CIFS のコマンドの実行時に表示される可能があるエラーメッセージについての説明が記載され ています。 • 87 ページの「トラブルシューティングに関する FAQ」 • 88 ページの「HP CIFS Client で Kerberos をトラブルシューティングする方法」 • 89 ページの「HP CIFS Client での cifsmount または mount のトラブルシューティング」 • 91 ページの「CIFS Client のログファイルとログレベル」 トラブルシューティングに関する FAQ この項では、HP CIFS についてよく寄せられる質問を取り上げています。 cifsclient stop を使用したデーモンのシャットダウン方法 デーモンプロセスは絶対に直接停止しないでください。HP CIFS は、マウントされたすべての 共有ディレクトリのマウントを解除しようとしますが、それが失敗した場合、マウントされた ディレクトリが無効になり、使用できなくなるため、問題が発生します。デーモンを正しい方法 で停止させるためには、cifsclient stop を使用してください。 cifsclient stop についての詳細は、このマニュアルの第 2 章「手順 4: HP CIFS Client デーモン の起動と停止」を参照してください。 デーモンが終了した場合に実行するべきこと デーモンが終了した場合、HP CIFS でマウントされているすべての共有ディレクトリは、すぐ に使用できなくなります。NFS タイムアウト ( 設定ファイルで設定した時間 ) が経過するまで は、共有ディレクトリにアクセスすると必ずシステムがハングします。この問題を、システムを リブートさせずに解決するには、マウントされたディレクトリを使用しているすべてのプロセス をすぐに終了し、現在のディレクトリをすべて、マウントされたディレクトリから別の場所に移 動し、コマンド cifsclient force_umount mount_point を実行して、無効になったマウント を解除します。ほとんどの場合は、この方法で問題を解決できます。問題が解決されない場合 は、現象を当社の技術サポート担当者に報告し、問題の再現方法を伝えてください。 第6章 87 トラブルシューティングとエラーメッセージ HP CIFS Client で Kerberos をトラブルシューティングする方法 HP CIFS Client で Kerberos をトラブルシューティングする方法 • cifsTrace、authentication log levels cifsTrace と authentication log levels が有効の場合は、Kerberos の処理によって、 情報ログメッセージが HP CIFS Client ログファイルに生成されます。 • 一時証明書ファイル Kerberos 認証を使用すると、ログイン処理中に、HP CIFS Client が一時ファイルを利用し てユーザーの証明書を格納します。一時証明書ファイルは、ユーザーごと、サーバーごとに 1 つずつ存在します。Kerberos チケットは、HP CIFS Client によって再利用されることは ありません。そのため、ユーザーのログイン処理が完了すると、この一時ファイルは削除さ れます。 トラブルシューティングのため、構成変数 rmTempKerbCredFiles に no を設定すると、一 時証明書ファイルは保存できます。Kerberos Client の標準ユーティリティ klist(1) および kdestroy(1) を使用すると、このファイルの検査と削除を行うことができます。この 2 つのコ マンドに -c cache_filename オプションを付けて、以下の形式でファイル名を指定します。 /var/opt/cifsclient/krb5_tmp/krb5cc_servername_uid servername は CIFS Server 名です。また、uid は CIFS Client が実行されているローカル HP-UX ホスト上のユーザーの UNIX UID です。 cifsclient 制御スクリプトは、ファイル名もパス名も参照せずに資格ファイルに対して動 作させることもできるため、便利です。cifsclient -h と入力すると、構文の概要が表示 されます。 • Kerberos の基本機能 Kerberos インフラストラクチャの基本機能が正常に動作していないと考えられる場合は、 手順 2 の確認操作を繰り返します。 • 88 特定のサーバーの authenticationMethod に構成ファイルの default Server セクション にあるグローバル設定と異なる値を設定する場合は、サーバー固有のオプションを servers セクションに作成できます。構成ファイルの servers セクションについては、第 7 章の終 わり近くで説明します。また、構成ファイル自体にも、サンプルの servers エントリーが 含まれています。 第6章 トラブルシューティングとエラーメッセージ HP CIFS Client での cifsmount または mount のトラブルシューティング HP CIFS Client での cifsmount または mount のトラブルシュー ティング ここでは、cifsmount コマンドや mount コマンドを使って CIFS サーバー上に共有ディレクト リをマウントした場合に発生する可能性のある問題についての情報と、その問題を解決するため の対処方法について説明します。 HP CIFS Client DLKM が使用されていない場合の対処方法 cifsmount コマンドまたは mount コマンドを実行して CIFS ファイルシステムをマウントする と、次のエラーメッセージが表示されることがあります。 $ cifsmount -U user -P password //server/share /mount_point ERROR: UNIX: No such device または $ mount -F cifs server:/share /mount_point ERROR mount: cifs : Invalid argument usage: mount [-l][-v|-p] mount [-F FStype][-eQ] -a mount [-F FStype][-eQrV][-o specific_options] { special | directory } mount [-F FStype][-eQrV][-o specific_options] special directory 上記のエラーを解決するには、すべてのコマンド行引き数が正しく、CIFS サーバーが起動され ている場合は、次のコマンドを使って、CIFS Client Dynamically Loadable Kernel Module (DLKM) の状態を確認します。 $ kcmodule cifs CIFS Client DLKM 状態が unused の場合、次の出力メッセージが表示されます。 Module cifs 第6章 State unused Cause Notes auto-loadable,unloadable 89 トラブルシューティングとエラーメッセージ HP CIFS Client での cifsmount または mount のトラブルシューティング CIFS Client DLKM の状態が unused であることを確認したら、次のコマンドを使って、CIFS Client DLKM の状態を auto にし、CIFS Client DLKM がロードされるようにします。このコ マンドと出力メッセージは、次のように表示されます。 $ kcmodule cifs=auto * The sutomatic 'backup' configuration has been updated. * The request changes have been applied to the currently * running system. Module State Cause Notes cifs (before) unused auto-loadable,unloadable (now) auto explicit auto 状態にすると、cifsmount コマンドまたは mount コマンドが CIFS シェア上で最初に実行 されたときに、CIFS Client DLKM がダイナミックにロードされるようになります。 "device busy" というエラーメッセージが表示された場合の対処方法 cifsmount コマンドまたは mount コマンドを実行して CIFS ファイルシステムをマウントした ときに、"device busy" というエラーメッセージが表示されることがあります。このタイプのエ ラーを解決するには、fuser -fu mountpoint (fuser(1M) を参照 ) コマンドまたは cifsclient fuser [-v] mountpoint コマンドを、指定されたマウントポイントとその各サブ ディレクトリに対して実行して、CIFS ファイルシステムのマウントポイントがプロセスに結び 付けられているかどうかを確認します。これは、"device busy" メッセージでマウントが失敗し たときにマウントポイントにアクセスしていたプロセスを調べるのに役立ちます。cifsmount コマンドや mount コマンドを成功させるには、マウントポイントに結び付けられているプロセ スを終了させてから、コマンドを実行します。 90 第6章 トラブルシューティングとエラーメッセージ CIFS Client のログファイルとログレベル CIFS Client のログファイルとログレベル CIFS Client は、ディレクトリ /var/opt/cifsclient/debug に CIFS Client の動作に関する ログファイルを作成します。クライアントは、起動するたびに client-log.pid という名前の 新しいログファイルを作成します。ここで、pid は CIFS Client のデーモン cifsclientd の HP-UX のプロセス ID です。 通常、ログファイルに記録されるのはエラーまたは警告のみです。ただし、CIFS Client 内のさ まざまなモジュールの動作を確認するため、ログレベルを非常に細かく段階的に有効にすること ができます。 当社に不具合を伝えると、サポート担当者からログレベルを少なくとも 1 つ有効にするように求 められます。この操作を行うには、CIFS Client の設定ファイル /etc/opt/cifsclient/cifsclient.cfg を編集します。特定のログレベルを非コメント化す るには、先頭の文字 # を削除し、設定ファイルを保存します。 新たに有効 ( または無効 ) にされたログレベルを認識させるために CIFS Client を再起動する必 要はありません。 ログファイルのサイズが大きくなると、ディスクスペースが圧迫され、CIFS Client の動作が遅 くなります。そのため、ロギングは、必要がないときは無効にするようにお勧めします。推奨さ れているデフォルトの動作ログレベルについては、cifsclient.cfg.default ファイルを参照 してください。 ログのサイズが 50 メガバイトになると、ログは .prev が付いたファイル名でコピーされ、新し いログが開始します。新しいログは、サイズが 50 メガバイトになると .prev が付いたファイル 名でコピーされ、古いログが上書きされます。 第6章 91 トラブルシューティングとエラーメッセージ CIFS Client のログファイルとログレベル 92 第6章 7 設定ファイル デフォルトの設定ファイルは、修正なしでそのまま使用することができます。構成ファイルを変 更するときには、変更による影響を理解する必要があります。 設定ファイルは、HP CIFS Client のデーモンにより起動時と編集時に解析されます。設定ファ イルは動作中のデーモンにより再度読み取られますが、設定を変更した場合は、その直後にすべ て反映されるわけではありません。ほとんどのオプションは、使用されるときに内部変数に読み 込まれます。たとえば、サーバーの設定情報が内部構造に転送されるのは、サーバーへの接続が 確立されたときです。したがって、サーバーの設定の変更を有効にするには、最初に、すべての 共有ディレクトリに対して unmount コマンドを実行し、そのサーバーからすべてのユーザーを ログアウトさせてください。HP CIFS Client の構成ファイルは、 /etc/opt/cifsclient/cifsclient.cfg です。 注記 HP CIFS Client A.01.* に使用される CIFS Client の設定ファイル cifsclient.cfg は、HP CIFS Client A.02.* には無効です。CIFS Client の A.01.* バージョンを A.02.* バージョンにアップデートする方法についての詳細 は、第 4 章の 57 ページの「HP CIFS Client をバージョン A.01.* から A.02.* に 移行する方法」を参照してください。 一般的な構造 設定ファイルは、以下のような、単純な構造の構文から成り立っています。 • 注釈 • 文字列 • 配列 • 辞書 コメントは # 文字で始まります。# 文字から行末までの間にあるテキストは、すべてコメントで す。 # comment to end of line 文字列、配列、および辞書は、一般的には「プロパティ」と言われているものです。 第7章 93 設定ファイル 一般的な構造 文字列とは、英数字 ( アンダースコアを含む ) が順番に並んだものです。文字列にスペースのよ うな他の文字が含まれる場合は、その文字列を二重引用符で囲んでください。二重引用符の内部 では、C 言語の文字列と同じエスケープシーケンスを使用できます。数字の引き数も、他の文字 列と同様の構文で指定します。数字の引き数は文字列とみなされ、使用時に変換されます。 配列は、その他のプロパティの値が順番に並べられたリストです。配列はかっこで区切られてい て、この配列を構成するプロパティの値は、コンマで区切って指定します。以下に、いくつかの 文字列の要素で構成されている配列の例を示します。 (1, 2, 3, hello, "how are you") 辞書は、名前の付いたプロパティの順不同のリストです。このリストは中かっこで区切られてい ます。辞書の各プロパティは、左側 ( キー ) は必ず文字列で、真中が等号、右側 ( 値 ) がプロパ ティの値という構成になっています。各プロパティは、セミコロンで区切って指定します。以下 は、property1 から property3 までの 3 つのプロパティで構成されている辞書の例です。最初 のプロパティの値は文字列、2 番目のプロパティの値は配列、そして 3 番目のプロパティの値は 辞書です。 { property1 = "value of property1"; property2 = (value, of, property2); property3 = { firstWord = value; secondWord = of; thirdWord = property3; }; } この設定ファイル自体は辞書です ( 他のプロパティは許可されていないため、中かっこの使用は 任意です )。トップレベル ( 左側 ) のキーは設定変数の名前です。 文字列として解析されたプロパティは、以下のいずれかとして解釈されます。 • 文字列 • 数字 • 列挙体 • ブール 文字列については、これまでの説明を参照してください。数字は、0 (8 進数 ) または 0x (16 進数 ) で始まる場合を除き、10 進数として解釈されます。列挙体は、定義済みの文字列のセットの文 字列です。論理型変数は、特殊な列挙体で、yes と no の文字列から構成されています。 94 第7章 設定ファイル 設定変数 設定変数 上位 3 つの基準 (main、nfs3、cifs) に構成できる、すべての変数のリストは、以下のとおりで す。 logLevels この変数の値は、アクティブなロギングモードがすべて列挙された配列です。 角括弧内の数字は、ログファイル内の、対応するロギングモードのメッセージ を表しています。ロギングモードは、以下の文字列のいずれかです。 [0] info 情報メッセージを記録します。オンにしてください。 [1] error エラーメッセージを記録します。オンにしてください。 [2] debug 一般的なデバッグメッセージです。デバッグ中にのみ有効です。 [3] resource オブジェクトの割り当て / 割り当て解除についてのメッセージです。デバッグ 中にのみ有効です。 [4] netbiosError NetBIOS 層からのエラーメッセージを記録します。非常に多くのエラーが発 生する場合を除き、オンにしてください。HP CIFS Client には、NetBIOS の 一部の機能は実装されていず、そのことによって NetBIOS のエラーメッセー ジが発生することがあります。そのため、NetBIOS のメッセージは、一般的 なエラーログと区別されています。 [5] netbiosDebug NetBIOS 層からのデバッグメッセージです。デバッグ中にのみ有効です。 [6] netbiosTrace NetBIOS のすべての送受信トラフィックの 16 進ダンプが生成されます。こ のオプションは、デバッグ中は非常に便利ですが、通常の動作時には、必ずオ フにしてください。 第7章 95 設定ファイル 設定変数 [7] nfsTrace カーネルが実行するすべての NFS 要求、およびそれぞれの戻り値についての 詳しい情報を参照できます。このオプションは、NFS 関連のデバッグを行う ためには非常に便利ですが、通常の動作時には、必ずオフにしてください。 [8] rare まれにしか発生し得ないような状況を記録します。デバッグ中にのみ有効で す。 [9] cacheDebug キャッシュ動作をデバッグします。デバッグ中にのみ有効です。 [10] cifsTrace 実行されたすべての CIFS コマンドと、それぞれの戻り値を記録します。デ バッグ時に netbiosTrace と合わせて使用すると非常に便利ですが、通常の動 作時には、必ずオフにしてください。 [11] oplock oplock (opportunistic lock) 機構をデバッグします。デバッグ中にのみ有効で す。 [12] warn あらゆるの種類の警告で、ほとんどの場合、設定ファイルのパーサーに使用さ れます。オンにしてください。 [13] smbSequence HP CIFS の要求の実行順序と、各メッセージについてのデバッグメッセージ。 デバッグ中にのみ有効です。 [14] debugAttributes ファイル属性のルーチンをデバッグします。デバッグ中にのみ有効です。 [15]smbConnect NetBIOS に対するサーバーの接続および切断のメッセージをデバッグします。 デバッグ中にのみ有効です。 [16] uiTrace ユーザーインタフェースとの通信の 16 進ダンプを生成します。この変数は、 デバッグ中では有効ですが、通常の操作では無効にする必要があります。 96 第7章 設定ファイル 設定変数 [17] nbnsTrace すべての NetBIOS ネームサービスのトラフィックの 16 進ダンプを生成しま す。この変数は、デバッグ中では有効ですが、通常の操作では無効にする必要 があります。 [18] diskarb ディスクアービトレーションをデバッグします。デバッグ中にのみ有効です。 [19] authentication CIFS 認証の詳細をデバッグします。デバッグ中にのみ有効です。 デフォルトのロギングモードは、info、error、netbiosError、warn、 smbConnect です。デフォルトのロギング設定は、以下のとおりです。 logLevels = ( info, error, # debug, # resource, netbiosError, # netbiosDebug, # netbiosTrace, # nfsTrace, # rare, # cacheDebug, # cifsTrace, # oplock, warn, # smbSequence, # debugAttributes, smbConnect, # uiTrace, # nbnsTrace, # diskarb, # disk arbitration # authentication, ); ログファイルには、エラーまたは警告だけが記録されます。しかし、CIFS Client 内の各種のモジュールの活動をチェックするために、多くのログレベ ルを有効にできます。 第7章 97 設定ファイル 設定変数 問題を当社に報告する場合、サポート担当者が 1 つ以上のログレベルを有効に するように求めることがあります。この操作を行うには、CIFS Client の構成 ファイルを編集して、ロギングモードの前に付いている # 文字を削除し、ファ イルを保存することで、特定のログレベルのコメントを解除します。 ロギングを強化すると、ディスクスペースの使用量が増加し、CIFS Client の 動作が遅くなります。そのため、ロギングが必要でなければ、サポート担当者 が有効にするように依頼した場合以外は、デフォルトのロギング設定を変更し ないでください。 cfgParseInterval HP CIFS Client は、起動中に設定ファイルを再解析できます。この機能を使 用するためには、HP CIFS Client が定期的にファイルをポールする必要があ ります。cfgParseInterval 変数では、ポールサイクルをミリ秒単位で定義 します。デフォルト値は 5000 です。 サーバーへの接続時に折衝されたパラメータは、サーバー上のすべての共有 ディレクトリのマウントが解除され、新しい接続が確立されるまで、変更され た構成値の影響は受けません。それ以外のパラメータの変更は、 cfsParseInterval で指定された時間内に有効になります。 sockMode sockOwner sockGroup UNIX ドメインのソケットのファイルアクセスモードと所有権で、HP CIFS Client のデーモンとコマンド行ユーティリティとの間のやり取りに使用され ます。アクセスモードを指定する場合、8 進数で指定するときは 0、16 進数で 指定するときには 0x を先頭に付けます。10 進数で指定するときには、それら のいずれの数値も先頭に付けません。所有者とグループは、名前または数値 ID で指定できます。どのような結果が得られるかはっきり分かっている場合 を除き、これらの値を mode=0600、owner=root 以外の値に設定しないでくだ さい。この UNIX ドメインのソケットのファイルアクセスモードは、デーモ ンにサービスを要求するユーザーの認証に関する安全性を確保するために使用 されます。これらの変数が設定ファイルで設定されていない場合は、デフォル トで適切な値が使用されます。 pidFile 98 HP CIFS Client は、必要に応じて、デーモンのプロセス ID が保存された ファイルを保持しておくことができます。この変数が定義されると、pid が保 存されるファイルのパスとして解釈されます。この変数が設定されていない場 合は、このファイルは作成されません。 第7章 設定ファイル 設定変数 usersMayStoreSessionData usersMayStoreSessionData パラメータを使用すると、ユーザーデータベー ス cifsclient.udb にパスワードを格納できます。このデータベースは、 CIFS Server に対する自動ユーザーログインの確立に使用できます。root 権 限を持ったユーザーは、このパラメータをどのように設定しているかに関係な く、マウントまたはユーザー自身のパスワードを格納できます。このパラメー タに no を設定すると、格納が無効になります。デフォルト値は yes です。 caseConvertFile この変数では、大文字 / 小文字変換テーブルのパスを設定します。このファイ ルには、すべての Unicode 文字の大文字と小文字のマッピングを定義します。 デフォルトでは、テーブルファイルは使用されず、デフォルトの ISO 8859-1 マッピングが保持されます。Unicode 規格に基づいたマッピングファイルは、 HP CIFS Client の一部として配布されています。このファイルは unitables/unicase.cfg にあります。 serverCharMapFile この変数では、サーバーのキャラクタマッピングファイルのパスを指定しま す。このファイルは、クライアントとサーバーのいずれかが Unicode を扱え ないときにのみ使用されます。また、このファイルには、内部 Unicode と サーバーに送信される ASCII 文字列の、相互のマッピングが定義されます。 デフォルトは codepage 437 マッピング (US-Latin DOS 文字セット ) です。さ まざまな文字セットのマッピングファイルが、HP CIFS Client とともに配布 されており、ディレクトリ unitables にあります。 clientCharMapFile この変数では、クライアントのキャラクタマッピングファイルのパスを設定し ます。このファイルには内部 Unicode と、クライアントで表示される ASCII 文字とのマッピングが定義されます。serverCharMapFile 変数を使用すると、 サーバーとクライアント間で、さまざまな文字コードを変換できるようになり ます。これらのテーブルは、ベンダー指定の文字セットを補完し、漢字を使用 するための JIS やシフト JIS のような、さまざまな国際的な文字セットをサ ポートするために使用されます。デフォルトは ISO 8859-1 マッピングです。 uniTableCompressBlocks この整数型変数は、Unicode テーブルの圧縮をカスタマイズします。大きな値 を指定すると変換速度は遅くなりますが、メモリーが効率的に使用されるよう になります。連続した未使用コードブロックの数を超える値を設定しても、効 果はありません。デフォルト値は 3 です。 第7章 99 設定ファイル 設定変数 corefileLimit この整数型変数には、デーモンによって作成されるコアダンプの最大サイズを メガバイト (1024 * 1024 バイト ) で設定します。コアダンプを無効にするに は、この値に 0 を設定します。デフォルト値は 500 ( メガバイト ) です。 networkInterfaces この変数には、ネットワークインタフェースを設定します。構文は、文字列の 配列です。それぞれの文字列は、ネットワークアドレスに使用される、インタ フェースの IP アドレス、スラッシュ、ビット数から構成されています ( この 変数は、ネットマスク指定の別の方法です )。この変数を設定する場合は、 bindUdpExplicitly 変数の使用も考慮してください。例 :networkInterfaces = ("192.168.1.21/24", "192.168.2.23/24") bindUdpExplicitly この変数に yes を設定すると、HP CIFS Client は、すべてのネットワークに UDP ポートを明示的にバインドします。no を設定すると、HP CIFS Client は、インストールされているすべてのネットワークインタフェースのワイルド カードである、アドレス 0.0.0.0 にバインドします。ネットワークインタ フェースが複数ある場合、明示的なバインドは、ブロードキャストのソース IP アドレスを正しく処理できないオペレーティングシステム上で必要なこと があります。HP CIFS Client は、Samba と同じソケットにバインドする場 合、ソケットオプション SO_REUSEADDR を使用する必要があります。この 場合、エラーが表示されません。このオプションを使用する場合は、 bindNbnsPort と bindNbdgsPort に対して、デフォルトのバインドポートを 変更する必要があることがあります。デフォルトでは、このパラメータには、 no が設定されています。 pagePoolInitialSize この整数型変数には、それぞれの共有ディレクトリにあらかじめ割り当てられ る、8,000 ページの仮想メモリーのページ数を設定します。デフォルト値は 128 です。 nfs3 このセクションは、固有の設定でオーバーライドできるデフォルトの機能を表 します。NFS3 セクションは、以下のパラメータから構成されています。 cacheFiles この変数には、NFS ハンドルでキャッシュされるファイルの数を設定します。 デフォルト値は 500 です。 cacheOpenFiles この変数には、現在アクセスしていなくても開いたままにできるファイルの数 を設定します。デフォルト値は 20 です。 100 第7章 設定ファイル 設定変数 changeMicrosecondFileTimes この論理型変数には、ファイルの変更日のマイクロ秒の部分をアクセスのたび に変更するかどうか設定します。変更日の変更は、カーネルの NFS キャッ シュを無効にする上で有効です。デフォルト値は no です。 fakeDirLinks この変数には、バックエンドから有効な値が出力されない場合にディレクトリ に対して表示されるハードリンクの数を設定します。デフォルト値は 2 です。 fakeDirSize この変数には、バックエンドから有効な値が出力されない場合にディレクトリ に対して表示されるサイズを設定します。この変数には、ブロックサイズの倍 数を設定する必要があります。 mnttabPrefix この論理型変数には、/etc/mnttab 内のマウントされている CIFS ファイル システムのリストと、mount(1M) および bdf(1M) の出力で、ホスト名の前に 識別子 [cifs] を付けるかどうかを指定します。mnttabPrefix に no を設定 した場合、標準の UNIX 形式が使われます。yes を設定した場合は、 "[cifs]server:/share" という形式が使われます。デフォルト値は no です。 マウントされているファイルシステムが表示される形式は、ファイルシステム のマウント時の mnttabPrefix の設定により決まります。ファイルシステム のマウント後に形式を変更するときには、そのファイルシステムのマウントを 解除してから再度マウントしなければなりません。 nfsKernelCacheTime この時間 ( 秒 ) の間、NFS カーネルがキャッシュされます。NFS による カーネルキャッシュを有効にできる変数です。この変数を使用すると、ネット ワーク上で送信される要求の数が減少し、特定の動作のパフォーマンスが改善 されます。デフォルト値は 0 秒です。 lookupStrategy ご存知のとおり、HP CIFS Client は、NFS リクエストと SMB/CIFS リクエ ストの間のマッピングを行います。NFS 側では、ファイルは NFS ファイルハ ンドルという名前の一意の識別子で参照されます。HP CIFS 側では、ファイ ルはファイルのパスのみで参照されます。HP CIFS Client は、NFS ファイル ハンドルに渡されるパスを決定できる必要があります。このパスの決定には、 2 つの方法を利用できます。 • pseudoInode この方法では、パスから NFS ファイルハンドルをハッシュ値として取得 します。ディレクトリ階層内のファイルの深さが 27 階層より低い場合、 ハッシュは効率的な参照を行うことができるように選択されます。この方 法の利点は、メモリーの消費が低いことです。ファイルは要求に応じて参 照されます。何も格納する必要はありません。主に不利な点は、ファイル 名が変更されると NFS ファイルハンドルも変更されることです。この変 更によって、開いているファイルの名前を変更したとき、UNIX の動作と 第7章 101 設定ファイル 設定変数 の衝突が発生します。ファイル名の変更後は、開いているファイルのハン ドルが古くなるため、ファイルは再度開かないとアクセスできません。ラ イトバックが発生するのが、ファイルを閉じている間ではなく、ファイル を閉じた後のみの場合は、Solaris NFS クライアントのキャッシュコード 内の不具合との衝突も発生します。 • database この方法では、ファイルとパスの関係に対する NFS ファイルハンドルは、 すべて内部データベースに格納されます。この方法は、最も安全で互換性 のある方法です。不利な点は、このハンドル情報をすべてメモリーに保持 する必要があることです。HP CIFS Client では、この方法が使用されて いるそれぞれの共有ディレクトリに対して、約 500kB 以上の実メモリー と約 10MB 以上の仮想メモリーが必要です。 デフォルト値は database 方法です。 nfsTimeout この整数型変数には、カーネルから HP CIFS Client のデータが要求されると きの初期タイムアウトを 10 分の 1 秒単位で設定します。この値は、再試行の たびに 2 倍になります。この変数と nfsRetransmit の組み合わせで、NFS 要 求の絶対タイムアウトを設定します。値を 50 (5 秒 ) に設定すると、すでに実 行されている ( 時間のかかる ) 要求が何度も再試行されることがなくなり、タ イムアウトの合計は約 2 分になります。この変数には、最も処理速度の遅い装 置およびリンクにも十分対応可能な値を設定する必要があります。ジューク ボックスを使用している場合は、必要に応じて、requestTimeout の値も増や します。 nfsRetransmit この整数型変数には、HP CIFS Client が時間内に応答しないときにカーネル から再試行される要求の回数を設定します。このタイムアウトの初期値は、 nfsTimeout で設定された値で、再試行のたびに 2 倍になります。HP CIFS Client では、要求が失われることはないため、再送信は必要ありません。た だし、システムの NFS クライアントが NFS サーバーに大きな負荷をかけて いる場合、クライアントの最大ソケットバッファーサイズが小さいと、バッ ファーオーバーフローが原因で要求が失われてしまうことがあります。この値 は、5 ( デフォルト値 ) に設定することをお勧めします。nfsTimeout を使用す ると、バッファーオーバーフローが頻繁に起きた場合でも、最適なパフォーマ ンスが発揮されます。 nfsSockRxBuf この整数型変数では、カーネルとの通信に使用されるソケットの受信バッ ファーサイズを設定します。マシンの許容範囲外の値が指定された場合は、 HP CIFS Client により、自動的に許容範囲内の値が設定されます。書き込み が極端に遅い場合は、バッファーサイズを増やしてください。 102 第7章 設定ファイル 設定変数 nfsSockTxBuf この整数型変数では、カーネルとの通信に使用されるソケットの送信バッ ファーサイズを設定します。正確なバッファーサイズを設定する必要はありま せん。 nfsTransferSize この整数型変数では、カーネルと HP CIFS Client との間のデータ転送に使用 される最大ブロックサイズを定義します。設定可能な最大値は 8K (8192) で す。AIX 3.x を使用した場合のように、NFS ソケットで頻繁にオーバーフロー が発生する場合は、この値を小さくする必要があるかもしれません。ブロック サイズは、必ず 2 の乗数で指定するようにすると便利です。デフォルト値は 8192 です。 preferredPort この整数型変数には、HP CIFS Client が NFS 用に使用するポート番号を設 定します。このポートが使用できない場合、HP CIFS Client は、空いている ポートを選択します。NFS には専用のポートを設定することをお勧めします。 専用のポートを設定すると、デーモンを再起動しても、再マウントを行う必要 がなくなるためです。信頼できないローカルユーザーがある場合、ポート番号 は、1024 未満である必要があります。 cifs CIFS の構造は複雑であり、CIFS 接続のための多数の設定オプションが用意 されています。このセクションは、固有の設定でオーバーライドできるデフォ ルトの機能を表します。CIFS セクションは、以下のパラメータから構成され ています。 dataCacheSize この整数型変数には、データキャッシュごとに消費されるバイト数を設定しま す。この変数の値は、8k の倍数である必要があります。 databaseFile この変数には、ユーザーデータベースファイルのパスを設定します。この変数 には、ユーザーパスワードと登録キーを格納します。デフォルト値は /var/opt/cifsclient/cifsclient.udb です。 databaseParseInterval ユーザーデータベースファイルが変更された場合、HP CIFS Client は ユー ザーデータベースファイルを再解析できます。この機能を有効にするには、 HP CIFS Client が周期的にファイルを確認する必要があります。 databaseParseInterval 変数には、この確認の周期をミリ秒で設定します。こ の変数に 0 を設定すると、ユーザーデータベースファイルはシステム起動中に 1 度しか解析されません。デフォルト値は 10000 です。 domain この文字列型変数には、クライアントがサーバーに送信するドメイン名を設定 します。この変数は、設定されていないと、デフォルト値、つまり、既知の サーバーすべてに対応するデフォルトの空の文字列になります。 第7章 103 設定ファイル 設定変数 initialDataCaches, initialDirCaches この 2 つの整数型変数には、システム起動時にディレクトリとデータファイル に割り当てられるキャッシュの数を設定します。両方の変数のデフォルト値は 8 です。 bindNbnsPort この変数には、HP CIFS Client が NetBIOS ネームサービスの要求を送信す るポート番号を設定します。指定されたポート番号が使用できない場合、HP CIFS Client は空いているポートを無作為に使用します。デフォルト値は 137 です。 bindNbdgsPort この変数には、HP CIFS Client が NetBIOS データグラムの要求を送信する ポート番号を設定します。指定されたポート番号が使用できない場合、HP CIFS Client は空いているポートを無作為に使用します。デフォルト値は 138 です。 lookupTryNetbios この論理型変数には、NetBIOS ブロードキャストを有効にするかどうか設定 します。WINS は NetBIOS ネームサーバーの機能です。WINS 参照を有効に するには、この変数に yes を設定し、nbnsWinsIp 変数に WINS サーバーの IP アドレスを指定する必要があります。接続先の CIFS Server は、WINS サーバーに登録している必要があります。デフォルトでは、このパラメータに は、 yes が設定されています。 lookupTryDns この変数には、ドメインネームサーバー (DNS) 参照を有効にするかどうか設 定します。デフォルト値は yes です。 fileCreateMask この変数を使うと、ファイル作成時の UNIX パーミッションモードのマスク を設定できます。作成されるファイルの実際のモードは、このマスクと、操作 のデフォルトモードの論理和となります。fileCreateMask のデフォルト値は 0 で、ファイル作成モードに影響を与えません。この設定が有効なのは、 UNIX 対応 CIFS 拡張機能を使う CIFS サーバーだけです。Windows サー バーは、UNIX のファイルパーミッションをサポートしていません。詳細は、 umask(1) のマンページを参照してください。 allowBackslashesInPaths 論理型変数で、デフォルト値は no です。このパラメータに yes を設定した場 合は、CIFS サーバー上のパスの参照に DOS 形式のバックスラッシュを使う ことができます。パス内の 1 番目のバックスラッシュは、シェアの root の少 なくとも 1 レベル下のファイルまたはサブディレクトリを参照しなければなら ず、バックスラッシュがシェルによって解釈されないように保護しなければな りません。たとえば、次のパス参照は正しく認識されます。 104 第7章 設定ファイル 設定変数 '/local_mountpoint/dir_at_top_level_of_share\subdir\file' /local_mountpoint/dir_at_top_level_of_share\\subdir\\file しかし、次のパス参照は正しくありません。 '/local_mountpoint\dir_at_top_level_of_share\subdir\file' 標準の UNIX のスラッシュによるパス区切りは正しく認識されます。 /local_mountpoint/dir_at_top_level_of_share/subdir/file nbnsWinsIp この文字列型変数には、WINS サーバーの IP アドレスを設定します。WINS サーバーがネットワーク内にない場合、この変数には、空の文字列を設定しま す。 nbnsInitialTimeout, nbnsTotalTimeout nbnsInitialTimeou 変数には、NetBIOS ネームサービスの動作に使用される 初期タイムアウトをミリ秒で設定します。この値は、再試行のたびに 2 倍にな ります。nbnsTotalTimeout 変数には、NetBIOS ネームサービスの動作が成 功するまでの最大タイムアウトをミリ秒で設定します。NetBIOS ネームサー ビスは、最大タイムアウトを超えると、タイムアウトエラーで失敗します。デ フォルトでは、nbnsInitialTimeout には 100、nbnsTotalTimeout には 1200 が、それぞれ設定されています。 nbnsCacheTime この時間 ( ミリ秒 ) の間、NetBIOS 名参照がキャッシュされます。 scopeID この文字列変数では、クライアントの NetBIOS 名のスコープを定義します。 この変数が定義されていないと、スコープ ID は使用できません。この変数 は、スコープ ID の意味を理解してから使用してください。 rmTmpKerbCredFiles Kerberos 認証を使用すると、ログイン処理中に、CIFS Client が一時ファイ ルを利用してユーザーの資格を格納します。一時証明書ファイルは、ユーザー ごと、サーバーごとに 1 つずつ存在します。Kerberos チケットは CIFS Client によって再利用されないので、ユーザーのログイン処理が完了すると、 一時ファイルは削除されます。トラブルシューティング用に必要であれば、こ の変数を no に設定すると、一時ファイルを保存できます。このファイルは /var/opt/cifsclient/krb5_tmp にあります。デフォルト値は yes です。 oldUdbEncrypt 第7章 ユーザーデータベースファイル (UDB) に使われている暗号化方式は、バック アップと復元の後にファイルを再使用できるように、CIFS Client バージョン A.02.02 で拡張されています。この機能は、デフォルトで有効になります。た だし、この拡張が行われたために、バージョン A.02.01 の UDB は、新しい 105 設定ファイル 設定変数 CIFS Client バイナリと互換性がありません。CIFS Client A.02.02 以降で古 い UDB を使うためには、このパラメータに yes を設定しなければなりませ ん。 oldUdbEncrypt = yes; cifs.server.".default" CIFS の構造は複雑であり、CIFS 接続のための多数の設定オプションが用意 されています。この変数によりデフォルトの動作が定義されますが、各サー バー固有の設定に合わせて変更できます。この変数の値は、以下のパラメータ が含まれた辞書です。 localNetbiosName サーバーに送信されるクライアントの NetBIOS 名を設定します。 ipAddress 接続する CIFS Server の IP アドレスを設定します。 connectTimeout この整数型変数では、接続が成功するまでの最大待ち時間を、ミリ秒単位で設 定します。ネットワークの通信速度が遅い場合は、この時間を長くする必要が あります。デフォルトは 2000 ミリ秒 (2 秒 ) です。 requestTimeout この整数型変数では、サーバーが応答するまでの最大時間 ( すでに接続が確立済みの場合 ) をミリ秒単位で設定します。デフォルトは 60000 ミリ秒 (60 秒 ) です。 authenticationMethod このエントリーには、HP CIFS Client が CIFS Server に対するユーザー認証 に使用する方法を指定します。指定できる値は、ntlm または kerberos です。 デフォルト値は ntlm です。値に ntlm が設定されている場合は、NTLM プロ トコルのみがサーバーに対するログインに使用されます。値に kerberos が 設定され、そしてサーバーが Kerberos をサポートする場合は、Kerberos の みがログインに使用されます。サーバーが Kerberos をサポートしない場合 は、NTLM が使用されます。NTLM が使用される場合、CIFS Client は、ど の NTLM バージョンを使用するか、ntlmEncryptionVersion の設定に基づい て決定します。 ntlmEncryptionVersion このエントリーには、HP CIFS Client が CIFS Server に対するユーザー認証 に使用する方法を指定します。指定できる値は、ntlm または ntlmv2 です。 値に ntlm が設定されている場合は、NTLM 暗号化パスワードがサーバーに 対するログインに使用されます。値に ntlmv2 が設定されている場合は、 NTLMv2 が使用されます。デフォルト値は ntlm です。 106 第7章 設定ファイル 設定変数 smbPacketSigning この文字列型変数には、HP CIFS Client がどのオプションを使用してパケッ ト署名を行うか指定します。このパラメータに対する有効なエントリーは、 enbled、 required、disabled です。デフォルトでは、このパラメータには、 enabled が設定されています。 preventCreationEnable, preventCreationPattern これらのパラメータを使うと、指定したパターンに一致するファイルが CIFS サーバー上に作成されるのを防ぐことができます。 preventCreationEnable は論理型変数で、デフォルト値は no です。この変 数に yes を設定すると、preventCreationPattern に指定したパターンと一 致する名前のファイルは、CIFS サーバー上には作成されません。 preventCreationEnable に no を設定すると、preventCreationPattern は無視されます。 preventCreationPattern は文字列変数で、デフォルト値はヌル ("") です。 preventCreationPattern で定義されたテキストパターンと一致するファイ ル名は、preventCreationEnable に yes を設定している場合、作成できま せん。このパターンにはワイルドカード文字 "*" ( 任意の文字のシーケンスに 一致 ) と "?" ( 任意の 1 文字に一致 ) を含めることができるため、パターン "*file" は、my_file、xxfile などの名前と一致します。 たとえば、DOS の実行可能ファイルをサーバー上に置けないようにするには、 これらのパラメータを次のように設定します。 preventCreationEnable = yes; preventCreationPattern = "*.exe"; smbOverTCP CIFS Client がサーバーとの接続で NetBIOS Session Service を使わず、 SMB over TCP を使うかどうかを制御する論理型変数です。デフォルト値は no です。 注記 第7章 Windows NT サーバーは、SMB over TCP をサポートしないた め、この機能用に定義されている TCP ポート ( ポート 445) 上 の接続要求を受け付けません。ネットワーク上に NT サーバー が存在しているときに、SMB over TCP を有効にした場合は、 各 NT サーバーに対して、構成ファイルに「個別サーバー」エ ントリーを作らなければなりません。個別サーバーエントリー は、"server.default" セクションの後で、"# End of 107 設定ファイル 設定変数 'server' section" タグの前に置きます。たとえば、NT サー バーの NetBIOS 名が "ntsrv01" の場合、セクションは次のよ うになります。 ntsrv01 = { smbOverTCP = no; }; unixExtensions この論理型変数は、CIFS サーバーへの接続で、UNIX 対応 CIFS 拡張機能を 有効または無効にするために使います。このパラメータに設定できる値は、 yes と no です。デフォルト値は yes です。この変数は、グローバルに構成す ることも、サーバーごとに構成することもできます。詳細は、20 ページの 「UNIX 対応 CIFS 拡張機能」を参照してください。 caseSensitive この論理型変数では ( 設定可能な値は yes または no) サーバー上のファイル 名の大文字と小文字を区別するかどうかを指定します。デフォルトでは、 UNIX ファイルシステムとの整合性を維持するため、ファイル名の大文字と小 文字は区別されます。none ( 次のパラメータを参照 ) 以外の大文字 / 小文字の マッピング方法を採用している場合は、このパラメータを no に設定してくだ さい。 caseMapping この変数 ( 列挙体型 ) では、ファイル名をすべて大文字 (upper) にマッピング するか、すべて小文字 (lower) にマッピングするか、サーバーで使用されて いる名前のとおり (none) にするかを設定します。) capitalizeShares この論理型変数では、接続を試行する前にシェア名をすべて大文字に変換する かどうかを設定します。シェア名は大文字 / 小文字が区別されるべきではあり ませんが、Windows 95 では小文字の名前が受け付けられません。このオプ ションは、serverClasses のセクションで指定されている場合、no から yes に変更できますが、yes から no に変更することはできません。デフォルト値 は yes です。 useUnicode この論理型変数では、サーバーが Unicode をサポートしている場合に、HP CIFS Client で Unicode を使用するかどうかを指定します。 domain この文字列変数では、クライアントがサーバーに送信するドメイン名を設定し ます。この変数が設定されていない場合は、デフォルトで、既知のあらゆる サーバーが受け付けることのできる空の文字列が使用されます。(cifs.domain に移動 ) 108 第7章 設定ファイル 設定変数 alwaysEncryptData この論理型変数が yes に設定されている場合は、サーバーとの SSL (Secure Socket Layer) 接続のみが受け付けられます。no に設定されている場合は、 SSL 接続以外の接続も受け付けられます。 guestRemoteUser guestRemoteUser 変数を設定すると、共有ディレクトリが公開されていても、 各 UNIX ユーザーがアクセスするためには (CIFS のユーザー名とパスワード の組み合わせとのマッピングのために ) サーバーにログインしていなければな らないという問題が解決されます。たとえば、アクセスパーミッションが重要 視されない、公開された共有ディレクトリにアクセスする UNIX ユーザーが 多数いる場合、各ユーザーがログインしなければならないというのは、非実用 的です。guestRemotetUser 変数を設定すると、HP-UX システムにはログイ ンしているが、CIFS サーバーにはログインしていない UNIX ユーザーもすべ て、マウントポイントにアクセスしようとしたときに、ゲストユーザーとして CIFS サーバーに自動的にログインします。guestRemoteUser へ事前にログイ ンする必要はありません。guestRemoteUser として指定する名前は、CIFS サーバーまたはそのドメインで有効なアカウントの名前でなければならず、こ のユーザーの正しいパスワードを guestPassword パラメータに指定しなけれ ばなりません。 guestPassword この変数によって設定されるのは、guestRemoteUser パラメータによって指 定されるユーザーのパスワードです。 fileModeMask この変数は、CIFS がファイルに付与する UNIX のパーミッションの制限に、 使用できます。デフォルト値は 0777 です。操作内容がわからない場合は、変 更しないでください。UNIX のパーミッションは、ユーザーがファイルにアク セスできるかどうかとは無関係です。ファイルの属性は cp コマンドを使用し ても保持されるため、ファイルを CIFS の共有ディレクトリからローカルディ スクにコピーするまでは、UNIX のパーミッションはファイルのアクセス権限 とは無関係です。 dirModeMask この変数は、CIFS がディレクトリに付与する UNIX のパーミッションの制限 に、使用できます。デフォルト値は 0777 です。操作内容がわからない場合 は、変更しないでください。 ctimeIsCreate この変数には、UNIX の ctime ( 変更時間 ) の出力を DOS の作成時間から直接 行うか、ファイルの変更時間からコピーして行うか、設定します。このパラ メータに yes が設定されていると、作成日が使用されます。デフォルト値は no です。 第7章 109 設定ファイル 設定変数 fakeMountpointDate この論理型変数が yes に設定されていると、マウントポイントの修正時刻と アクセス時刻として、常に現在の時刻が読み込まれます。これは、Windows NT などの、ルートディレクトリの修正日を不正確な値で返すサーバーに対し て使用すると便利です。デフォルト値は no です。 execMapping この列挙体変数を設定しておくと、Windows サーバーに保存されたファイル を使用するときに便利です。この変数では、DOS のどの属性が UNIX の実行 パーミッションにマップされるかを設定します。有効なキーワードは、 archive、system、hidden、on、または off です。デフォルト値は on で す。ただし、execMapping には、設定された属性が Windows サーバーにも設 定されている場合に、すべてのユーザー ( 所有者、グループ、およびその他 ) に対して実行ビットが設定された状態で、UNIX クライアントにファイルがリ ストされてしまうという問題点があります。 警告 UNIX の実行可能ファイルを CIFS サーバーに保存し、UNIX ク ライアント上で実行する場合は、デフォルト設定を execMapping = on にする必要があります。この場合、UNIX クライアントでは、CIFS サーバーのすべてのファイルリスト に実行ビットが設定されています。execMapping = on の設定 にしても、HP CIFS サーバーのファイルの属性には影響せず、 これらのファイルは普通の UNIX ファイルと同様に使用できま す。 execInvert この論理型変数を yes に設定すると、(execMapping で設定された ) 実行ビッ トは逆になります。 fakeDirLinks サーバーからディレクトリのハードリンクの数を取得できない場合は、この数 が使用されます。この変数の値が指定されていない場合は、デフォルト値 2 が 使用されます。UNIX ユーティリティ find を実行したときに、リンク数から 再帰的検索が必要かどうかが決定される場合があります。find によりこの最適 化が実行される場合は、ディレクトリのリンク数に大きめの値を設定すること ができます。あるいは、find のコマンド行スイッチを使用して、最適化をオフ に切り替えることもできます。 enableFakeLinks この論理型変数が yes に設定されている場合、HP CIFS Client は、Windows サーバー上でのソフトリンクを実行できます。このソフトリンク機能を使用で きるのは、HP CIFS Client だけです。Windows サーバーでは、このソフトリ ンクは特別な属性の組み合わせ ( 設定を修正していない場合は、システム属性 と隠しファイル属性 ) が設定された普通のファイルのように見えます。 110 第7章 設定ファイル 設定変数 linkModeMask, linkMode これら 2 つの整数変数では、見せかけのソフトリンクと普通のファイルを区別 するために使用されるファイル属性を設定します。linkModeMask のデフォル ト値は 7 ですが、その場合は、読み取り専用、隠しファイル、およびシステム の属性が設定されているものとみなされます。linkMode では、これらの属性 の実際のステータスが設定されます。この変数のデフォルト値は 6 ですが、そ の場合は隠しファイルとシステムの属性は設定されているが、読み取り専用の 属性は設定されていないことを意味します。この変数には、次の属性値の合計 値が設定されます。 表 7-1 1 読み取り専用 2 隠しファイル 4 システム 32 アーカイブ linksAreUnicode この論理型変数が yes に設定されている場合、HP CIFS Client は、サーバー 上の Unicode 形式の見せかけのリンクを保存します。この形式は、CygWin32 形式のシンボリックリンクとは互換性がありませんが、クライアントパスを失 うことなく保存できます。この変数が no に設定されている場合、シンボリッ クリンクは Windows の CygWin32 形式のシンボリックリンクと多少互換性が ありますが、サーバーの文字セットへの変換が実行されます。この変数に関係 なく、HP CIFS Client は、両方の形式のシンボリックリンクファイルを読み 込むことができます。 attributesCacheTime ファイル属性が、この変数で設定された時間だけキャッシュされます ( ミリ秒 単位 )。 dirCacheTime ディレクトリの内容が、この変数で設定された時間だけキャッシュされます ( ミリ秒単位 )。 maxCachedFiles NFS ファイルハンドルのキャッシュとして保持されるファイルオブジェクト の最大数を設定します。キャッシュにない NFS ファイルハンドルが要求され た場合、このファイルハンドルを再帰的に検索しなければならず、パフォーマ ンスの著しい損失を招く原因となることがあります。再帰的な検索は、まれな イベントとして記録されます。 dataCacheSize 第7章 開いているファイルに割り当てられるデータキャッシュのサイズをバイト単位 で設定します。この値は、キャッシュのページサイズの倍数に丸められます。 ページサイズは最大転送可能サイズから求められます。このページサイズは、 常に 2 の累乗です。( cifs.dataCasheSize に移動 ) 111 設定ファイル 設定変数 closeDelay この変数では、ファイルを、どれくらいの時間、使用せずに開いたままにして おくことができるかを設定します。ここで設定される値は、以下のキーを含む 辞書です。 exclusiveLock 排他的 oplock が許可されている場合に、ファイルを開いておくことのできる 時間 ( ミリ秒単位 ) です。 batchLock バッチによる oplock が許可されている場合に、ファイルを開いておくことの できる時間 ( ミリ秒単位 ) です。 noLock ロックが許可されていない場合に、ファイルを開いておくことのできる時間 ( ミリ秒単位 ) です。 dataCacheTimeNoLock oplock が許可されていない場合は、キャッシングが実行されないようにする 必要があります。キャッシングが実行されると、oplock をサポートしていな いサーバーのパフォーマンスが低下する原因になることがあります。この変数 の値により、oplock が許可されていない場合の、キャッシュの有効時間 ( ミリ 秒単位 ) が設定されます。 readAhead この変数では、先読みするキャッシュページの数を設定します。ここで設定さ れる値は、以下のキーを含む辞書です。 lock oplock が許可されている場合に先読みするページ数です。 noLock oplock が許可されていない場合に先読みするページ数です。 useWriteBack この変数では、キャッシュのライトバック機能を使用するかどうかを設定しま す。ライトバックは、NFS2 とともに使用する場合、エラー回復の面での危険 性を伴いますが、パフォーマンスが著しく向上することがあります。ここで設 定する値は、以下のキーを含む辞書です。 lock oplock が許可されている場合に、ライトバック機能を使用するかどうかを設 定するブール値です。 112 第7章 設定ファイル 設定変数 noLock oplock が許可されていない場合に、ライトバック機能を使用するかどうかを 設定するブール値です。 信頼性を向上させたい場合は、これらのオプションを常にオフにしておきま す。この設定変数も、サーバーに渡されます。サーバーと OS の組み合わせ ( 特に Samba と Linux) によっては、ライトスルーモードで処理速度が非常に 遅くなる場合があります。そのような場合はライトバック機能を使用するよう に設定しても構いません。 requestOplock この論理型変数では、サーバーから oplock が要求されるようにするかどうか を設定します。Windows 95 マシンでは、oplock がサポートされていないにも かかわらず許可されるため、no に設定してください。 closeForSetattr この論理型変数では、属性 ( 書き込み保護、更新日 ) が変更される前にファイ ルが閉じられるようにするかどうかを設定します。Windows 95 サーバーで は、開かれているファイルの属性を設定できないため、この設定は Windows 95 サーバーに対しては有効です。ただし、この機能を有効にすると、UNIX 方式のマッピング機能は完全に無効になります。デフォルト値は no です。 disableSmbs すべてのサーバーで、各 SMB コマンドが同様にサポートされているわけでは ありません。実際、多くのコマンドは特定のタイプのサーバーでは使用できま せん。この変数の値には、使用不可能な SMB コマンドを列挙した配列を指定 します。それぞれのコマンドは、代替コマンドによって自動的に置き換えられ ます。この列挙体定数は、以下のセットの中から取得されます。 getattrFind ファイル属性を読み込むためのコマンド trans2/findfirst2 を無効にします。 trans2/findfirst2 は、属性を照会するための最適な方法であるため、必要な 場合にのみ無効にしてください。 getattrTrans2QueryPath ファイル属性を読み込むためのコマンド trans2/query_pathinfo を無効にしま す。Trans2/query_pathinfo は、Windows 95 では正しく機能しません。 attrUnix ファイル属性に対する UNIX 対応 CIFS 拡張機能を無効にします。 setattrTrans2SetFile ファイル属性を設定するためのコマンド trans2/setfileinfo を無効にします。 この SMB コマンドは、Windows では正しく機能しません。 第7章 113 設定ファイル 設定変数 setattrTrans2SetPath ファイル属性を設定するためのコマンド trans2/setpathinfo を無効にします。 この SMB コマンドは、Windows では正しく動作しません。 setattrSetFile2 属性を設定するためのコマンド SET_INFORMATION2 を無効にします。 setattrCoreWithTime 更新日を設定するためのコマンド SET_INFORMATION を無効にします。 createOpenX ファイルを作成するためのコマンド SMB_COM_OPEN_ANDX を無効にしま す。 openOpenX ファイルを開くためのコマンド SMB_COM_OPEN_ANDX を無効にします。 readReadX ファイルを読み込むためのコマンド SMB_COM_READ_ANDX を無効にしま す。 readOpenRead ファイルの読み込みに使用される、SMB_COM_READ_ANDX コマンドとと もにバッチ化された SMB_COM_OPEN_ANDX コマンドを無効にします。 writeWriteX ファイルを書き込むための SMB_COM_WRITE_ANDX コマンドを無効にし ます。 writeOpenWrite ファイルの書き込みに使用される、SMB_COM_WRITE_ANDX コマンドとと もにバッチ化された SMB_COM_OPEN_ANDX コマンドを無効にします。 findUnix ディレクトリを読み込むための UNIX 対応 CIFS 拡張機能を無効にします。 findTrans2 ディレクトリを読み込むための trans2/find コマンドを無効にします。 114 第7章 設定ファイル 設定変数 fsinfoTrans2 ファイルシステムの情報を読み取るための trans2/query_fs_info コマンドを 無効にします。 sessionSetup セッションの設定用コマンドを無効にします ( コアダイアレクト にのみ適用さ れます )。 treeconAndX コマンド TREE_CONNNECT_ANDX を無効にします ( 代わりに TREE_CONNECT が使用されます )。 setDirDates ディレクトリのファイルが作成または削除されたときに、ディレクトリの更新 日を設定できないようにします。ディレクトリが更新されたときに、サーバー により自動的に日付が設定される場合に便利です。 fileModeMask この整数型変数には、ファイルパーミッションを設定します。fileModeMask は、デフォルトでは、0777 です。操作内容がわからない場合は、変更しない でください。UNIX のパーミッションは、ユーザーがファイルにアクセスでき るかどうかとは無関係です。しかし、ファイルの属性は cp コマンドを使用し ても保持されるため、ファイルを CIFS の共有ディレクトリからローカルディ スクにコピーするまでは、UNIX のパーミッションはファイルのアクセス権限 とは無関係です。 dirModeMask この整数型変数には、ディレクトリパーミッションを設定します。 dirModeMask は、デフォルトでは、0777 です。操作内容がわからない場合 は、変更しないでください。UNIX のパーミッションは、ユーザーがファイル にアクセスできるかどうかとは無関係です。しかし、ファイルの属性は cp コ マンドを使用しても保持されるため、ファイルを CIFS の共有ディレクトリか らローカルディスクにコピーするまでは、UNIX のパーミッションはファイル のアクセス権限とは無関係です。 cifs.servers この変数により、特定のサーバーに対して cifs.server.default を使用して設定 した値が修正されることがあります。この変数の値は、辞書の形式で設定さ れ、サーバーの NetBIOS 名がキーとして使用されています。また、各サー バーキーの値も辞書です。この辞書の構造は、辞書 defaultServer と同じで す。さらに、以下のキーが使用されることがあります。 第7章 115 設定ファイル 設定変数 ipAddress このキーには、サーバーの IP アドレスや DNS 名を指定で きます。デフォルトでは、NetBIOS 名が DNS の照会に使 用されます。このパラメータは、cifsmount のコマンド行 で変更できます。 netbiosName 特定のサーバーに送信される NetBIOS 名を変更できます。 tcpPort サーバーへの接続に使用される TCP ポートを変更できま す。デフォルトでは、NetBIOS のセッションサービス用の ポート 139 が使用されます。 cifs.serverClasses この変数を使用すると、セッションの設定情報に従って接続が確立された 後、cifs.server.default コマンドや servers コマンドを使用して、設定された値 を修正できる場合があります。こうした修正が可能かどうかは、サーバーで使 用されているオペレーティングシステムや LAN マネージャのタイプによって 決まります。この変数の値は、辞書の配列の形式で設定されます。各辞書に は、以下の 3 つのキーすべてが設定されている必要があります。 OS このキーには、シェル形式の構文のマッチングパターンが含 まれます。(* は任意の文字列と一致し、? は 1 つの文字と一 致します。[< 文字 >] は指定された文字のいずれかと一致 し、[^< 文字 >] は指定された文字以外の文字と一致します。 ) このキーは、セッションの設定情報から得られるオペレー ティングシステム名とマッチングされます。 LanManager また、このキーも、シェル形式の構文のマッチングパターン から構成されます。このキーは、セッションの設定情報から 得られる LAN マネージャ名とマッチングされます。オペ レーティングシステム名と LAN マネージャ名は、ログレベ ル info が有効な場合は、syslog に出力されます。 config 前の 2 つのパターンが一致した場合は、この変数の値 ( 辞書 でなければなりません ) は、サーバーの設定に使用されま す。サーバーの設定には、defaultServer で設定可能なすべ ての値が使用されます。オプションが指定されると、すでに 設定されていたオプションはそれぞれ無効になります。ただ 116 第7章 設定ファイル 設定変数 し、オプション disableSmbs は例外です。無効にされたす べての SMB コマンドは、無効な SMB コマンドのリストに 追加されていきます。 配列は、最初から最後まで、すべてのプロパティが検索されます。一致するプ ロパティが見つかると、対応する設定が使用され、検索は中断します。 第7章 117 設定ファイル 設定変数 118 第7章 8 PAM NTLM この章では、PAM NTLM について説明します。 はじめに PAM NTLM ( NT Lan Manager) は、HP-UX ユーザーがシステムにログインするときに、 Windows サーバーによる認証を受けるための交換可能な認証モジュール (PAM) です。 PAM は UNIX の認証フレームワークで、UNIX システムにログインするユーザーを認証するた めに使用されます。PAM は動的にロード可能なモジュール ( 共有ライブラリ ) をロードし、この モジュールが実際の認証を行います。また、PAM は複数の共有ライブラリモジュールを使用す るように設定することもできます。 PAM NTLM は、CIFS サーバーを使用して、HP-UX システムにログインするユーザーを認証し ます。つまり、PAM NTLM は、NT LanManager のプロトコルを使用して UNIX ユーザーを認 証します。PAM NTLM は、UNIX ユーザーの名前とパスワードを確認のため CIFS サーバーに 送り、その結果を PAM フレームワークに戻します。HP CIFS Client は、PAM NTLM の認証情 報を使用して CIFS サーバーの共有ディレクトリにアクセスします。したがって、HP-UX シス テムにログインしたユーザーは、cifslogin コマンドを使用しないでも、CIFS サーバーからマウ ントされたファイルシステムにログインできます。 注記 第8章 PAM NTLM は、NTLMv2 のパスワード暗号化をサポートしていません。 119 PAM NTLM はじめに PAM NTLM を設定するには、PAM フレームワークについて 総合的に理解することが必要です。 PAM についての詳細は、pam(3)、pam.conf(4) のマンページ、および当社 Web サイト http://docs.hp.com/ja/hpuxos11.0.html にある『HP-UX システム / ワークグループの管理』を 参照してください。 図 8-1 120 PAM の概要 第8章 PAM NTLM PAM NTLM PAM NTLM この項では、PAM NTLM の特長とユーザーマップファイルについて説明します。 PAM NTLM の特長 • PAM NTLM は、認証とパスワード管理の機能を提供します。 • PAM NTLM は、設定ファイルとして、Samba の設定ファイル smb.conf の一部を使用します。 詳細は、「PAM NTLM の設定」の項を参照してください。 • PAM NTLM では、ローカルの UNIX ユーザー名をリモートの CIFS ドメインのユーザー名に マップするユーザー名マッピングによる認証が可能です。詳細は、「PAM NTLM の設定」の 項を参照してください。 • ユーザーとパスワードが認証されると、この認証情報は、CIFS クライアントが使用できる ようにキャッシュされます。 • NTLM の暗号化パスワードを使用し、CIFS サーバーへのログイン認証を行います。 • HP-UX の passwd(1) コマンドを使用して、プライマリドメインコントローラ (PDC) 上の HP CIFS ユーザーのパスワードを更新できます。 インストールの手順は、第 2 章を参照してください。 ユーザーマップファイル PAM NTLM は、CIFS サーバーによる認証が行われる前に、ユーザーマップファイルを使用し、 UNIX のユーザー名を CIFS ドメインのユーザー名にマップします。PAM NTLM は、ユーザー マップファイルの中の UNIX ユーザー名を検索します。ユーザー名が見つかると、マップされ た CIFS ドメインのユーザー名は、CIFS サーバーのユーザーを認証するために使用されます。 認証を受けるためには、マップされた NT ユーザーの正確なパスワードを入力する必要がありま す。 このとき、password(1M) コマンドで PAM NTLM が使用されるように設定してある場合は、 マップされた CIFS ドメインのユーザーのパスワードが CIFS ドメイン上で変更されます。 第8章 121 PAM NTLM PAM NTLM の設定 PAM NTLM の設定 PAM NTLM は、以下の手順で設定します。 • PAM NTLM モジュールの設定 • PAM NTLM モジュールを使用するためのシステムファイル /etc/pam.conf の設定 • ユーザーマップファイルの設定 ( 任意 ) PAM NTLM モジュールの設定 PAM NTLM の設定ファイルは、/etc/opt/cifsclient/pam/smb.conf です。また、デフォルト設 定ファイル (smb.conf.default) が用意されています。将来、デフォルト設定ファイルを参照する ことが考えられるため、このデフォルト設定ファイルを変更しないでください。 表 8-1 PAM NTLM の構成のサンプルファイル ## ## ## ## ## ## Name: smb.conf Set the values below to the actual names used in your environment Any line which starts with a semi-colon(;) or a hash(#) is a comment and is ignored. ==================== Global Settings ====================== [global] ## workgroup: Domain-Name or Workgroup-Name workgroup = workgroup ## password server: the netbios name of the system which will be ## used to authenticate logins. password server = pdc_name bdc1_name bdc2_name ## wins server: the system used to locate password servers, ## specified as a fully-qualified DNS name or an IP address. wins server = winserv.mycorp.com 122 第8章 PAM NTLM PAM NTLM の設定 PAM NTLM モジュールを使用するシステムの設定 HP-UX PAM のグローバル設定ファイル /etc/pam.conf を編集します。 重要 PAM NTLM が正しく設定されていないと、システムにログインできないことが あります。PAM NTLM の pam.conf ファイルを修正する前に、PAM フレーム ワークについて理解しておいてください。PAM については、HP-UX マンページ の pam.conf(4)、pam_unix(5) を参照してください。 セキュリティ上の理由から、認証およびパスワード変更については、PAM NTLM により設定されたパスワードサーバーではなく、ホストシステム (PAM UNIX) で root および他の特権ユーザーを認証するようシステムを設定すること を強くお勧めします。ユーザーごとのアクセスについては、pam.conf で libpam_updbe を使用することと、pam_user.conf で libpam_ntlm に ignore オ プションを使用することで制御できます。使用方法の説明と例は、 pam.conf(4)、pam_user.conf(4)、pam_updbe(5) を参照してください。 また同様に、PAM UNIX ( の代わりとしてではなく ) に加えて PAM NTLM サー ビスを使用することをお勧めします。この設定は以下の pam.conf ファイルの例 で説明しています。 PAM NTLM モジュールにより、以下のサービスが提供されます。 • パスワード認証 • パスワードの変更 • 有効期限終了の通知に基づくパスワードの変更 各サービスは pam.conf 上の特定のセクションに対応しています。使用したいサービスにエント リーを追加してください。 • パスワード認証では、pam.conf の Authentication management セクションを変更します。 • パスワードの変更では、Password management を変更します。 • 有効期限終了の通知に基づくパスワードの変更では、Authentication management、 Password management および Account management を変更します (「有効期限終了の通知 に基づくパスワードの変更」を利用するためには、「パスワード認証」と「パスワードの変 更」も有効にする必要があります )。 第8章 123 PAM NTLM PAM NTLM の設定 次の pam.conf サンプルファイルには 3 つの PAM NTLM サービスがすべて設定されています。 PAM NTLM の各エントリーは、共有ライブラリ libpam_ntlm.1 を参照する一行で構成されてい ます。Authenticatin management セクションに PAM NTLM と PAM UNIX を設定する場合 は、次に示すように、オプション try_first_pass を PAM UNIX エントリーで指定することを お勧めします。 警告 124 pam.conf ファイルに設定するパスが誤っていると、システムにログインできな いことがあります。使用中のシステムにインストールされている HP-UX のバー ジョンに適した pam.conf ファイルを確実に使用してください ( バージョンを確 認するには、uname -r を使用します )。特に pam.conf ファイルに行を追加する 場合は、次の例とまったく同じように入力してください ( パスは変更しないでく ださい )。HP-UX 11i v1.6 (B.11.22) 以降では、それより前のバージョンと、PAM ライブラリへのパスが異なります。 第8章 PAM NTLM PAM NTLM の設定 例 8-1 HP-UX 11i v2 のサンプルファイル 次の例は、HP-UX 11i v2 の pam.conf サンプルファイルを表したものです。 ===================================================================== # PAM configuration # # Authentication management # Note: For PA applications, /usr/lib/security/libpam_unix.so.1 is a # symbolic link that points to the corresponding PA PAM module. # # login auth sufficient /usr/lib/security/$ISA/libpam_ntlm.so.1 login auth required /usr/lib/security/$ISA/libpam_unix.so.1 try_first_pass su auth required /usr/lib/security/$ISA/libpam_unix.so.1 dtlogin auth required /usr/lib/security/$ISA/libpam_unix.so.1 dtaction auth required /usr/lib/security/$ISA/libpam_unix.so.1 ftp auth required /usr/lib/security/$ISA/libpam_unix.so.1 OTHER auth required /usr/lib/security/$ISA/libpam_unix.so.1 # # Account management # login account sufficient /usr/lib/security/$ISA/libpam_ntlm.so.1 login account required /usr/lib/security/$ISA/libpam_unix.so.1 su account required /usr/lib/security/$ISA/libpam_unix.so.1 dtlogin account required /usr/lib/security/$ISA/libpam_unix.so.1 dtaction account required /usr/lib/security/$ISA/libpam_unix.so.1 ftp account required /usr/lib/security/$ISA/libpam_unix.so.1 # OTHER account required /usr/lib/security/$ISA/libpam_unix.so.1 # # Session management # login session required /usr/lib/security/$ISA/libpam_unix.so.1 dtlogin session required /usr/lib/security/$ISA/libpam_unix.so.1 dtaction session required /usr/lib/security/$ISA/libpam_unix.so.1 OTHER session required /usr/lib/security/$ISA/libpam_unix.so.1 # # Password management # login auth sufficient /usr/lib/security/$ISA/libpam_ntlm.so.1 login password required /usr/lib/security/$ISA/libpam_unix.so.1 passwd password required /usr/lib/security/$ISA/libpam_unix.so.1 dtlogin password required /usr/lib/security/$ISA/libpam_unix.so.1 dtaction password required /usr/lib/security/$ISA/libpam_unix.so.1 OTHER password required /usr/lib/security/$ISA/libpam_unix.so.1 ===================================================================== 第8章 125 PAM NTLM PAM NTLM の設定 例 8-2 HP-UX 11.0 および 11i v1 のサンプルファイル 次の例は、HP-UX 11.0 および 11i v1 の pam.conf サンプルファイルを表したものです。 ================================================================ # # PAM configuration # # Authentication management # login auth sufficient /usr/lib/security/libpam_ntlm.1 login auth required /usr/lib/security/libpam_unix.1 try_first_pass su auth required /usr/lib/security/libpam_unix.1 dtlogin auth required /usr/lib/security/libpam_unix.1 dtaction auth required /usr/lib/security/libpam_unix.1 ftp auth required /usr/lib/security/libpam_unix.1 OTHER auth required /usr/lib/security/libpam_unix.1 # # Account management # login account required /usr/lib/security/libpam_ntlm.1 login account required /usr/lib/security/libpam_unix.1 su account required /usr/lib/security/libpam_unix.1 dtlogin account required /usr/lib/security/libpam_unix.1 dtaction account required /usr/lib/security/libpam_unix.1 ftp account required /usr/lib/security/libpam_unix.1 OTHER account required /usr/lib/security/libpam_unix.1 # # Session management # login session required /usr/lib/security/libpam_unix.1 dtlogin session required /usr/lib/security/libpam_unix.1 dtaction session required /usr/lib/security/libpam_unix.1 OTHER session required /usr/lib/security/libpam_unix.1 # # Password management # login password sufficient /usr/lib/security/libpam_ntlm.1 login password required /usr/lib/security/libpam_unix.1 passwd password required /usr/lib/security/libpam_ntlm.1 dtlogin password required /usr/lib/security/libpam_unix.1 dtaction password required /usr/lib/security/libpam_unix.1 OTHER password required /usr/lib/security/libpam_unix.1 ================================================================= 126 第8章 PAM NTLM PAM NTLM の設定 ユーザーマップファイルの設定 ユーザーマップファイルを使用するように PAM NTLM を設定するには、以下の行を /etc/opt/cifsclient/pam/smb.conf ファイルの [Global] セクションに追加します。 Domain user map = /etc/opt/cifsclient/pam/domain_user.map ユーザーマップファイルの名前と場所を設定できます。ただし、上に示した行と同様に名前と場 所を設定することをお勧めします。 ドメインユーザーファイルの各行は、以下の形式で指定します。 UNIXusername = [\\DOMAIN_NAME\\] DomainUserName UNIXusername は、HP-UX システムでの既存のアカウントで、DomainUserName は、マップさ れる CIFS ドメインのユーザーの名前です。 DOMAIN_NAME は、必要に応じて指定してください。 ユーザーマップファイルは、1 行ずつ解析されます。# や ; で始まっている行は、すべて無視さ れます。各行には、左側に UNIX ユーザー名、右側に CIFS ドメインのユーザー名を 1 つずつ、 タブまたは '=' で区切って指定します。名前にスペースが含まれる場合は、その名前を引用符で 囲んでください。 NIS によるユーザーマップファイルの配布 ユーザーマップファイルは、/etc/passwd を NIS クライアントに配布するのと同様の方法で、 NIS を介して配布できます。 この機能を使用するには、以下の手順に従ってください。 1. NIS マスターサーバーの、マスターのユーザーマップファイルを、domainusermap.byname という名前の NIS マップファイルに変換します。 注記 NIS マップファイル名 domainusermap.byname は、PAM NTLM が使用す る、NIS マップファイルのデフォルトの名前です。各 NIS クライアントの PAM NTLM 設定ファイル (/etc/opt/cifsclient/pam/smb.conf) で設定され ている NIS ユーザーマップ名を、別の名前に変更できます。以下に、設定オ プションを示します。 nis ntuser mapname = 新しいユーザーマップファイル名 第8章 127 PAM NTLM PAM NTLM の設定 2. 配布されたマップファイルを受け取る各 NIS クライアントのユーザーマップファイルで、最 初のカラムにプラス記号 (+) を付けた行を追加します。プラス記号は、ファイルの解析がそ の位置で停止すること、およびそれ以降のユーザーマップファイルの検索には NIS サーバー への NIS コールが使用されることを示します。 128 第8章 索引 C CIFS 説明 , 17 プロトコル , 17 cifsclient, 34, 68 cifsclient.cfg, 31 cifslist, 67, 79 cifslogin, 67, 74 cifslogout, 67, 78 cifsmount, 67, 71, 84 cifsumount, 67, 77 Common Internet File System - 「CIFS」を 参照 H HP CIFS 起動 , 33 紹介 , 17 停止 , 33 ファイルとディレクトリ , 42 HP CIFS Client UNIX の拡張機能 , 20 特長 , 20 トラブルシューティング , 87 ローカライズ , 22, 31 HP CIFS Client のトラブルシューティング , 87 HP CIFS の起動 , 33 HP CIFS の停止 , 33 HP 製品での拡張機能 , 19 M mount_cifs, 84 mount コマンド , 34 N netbios, 85 NIS とユーザーマップファイル , 127 P PAM NTLM 安全な記憶領域の統合 , 21 セキュアな記憶領域の統合 , 21 設定 , 122 設定ファイル , 122 説明 , 18, 119 特長 , 54, 121 索引 password(1M), 121 S Server Message Block, 17, 19 serverClasses, 116 SMB - 「Server Message Block」を参照 SSL オプション , 93 swinstall(1M), 30 U unmount_cifs, 84 unmount コマンド , 34 い インストール 概要 , 27 必要条件 , 29 か 概要 インストール , 27 設定 , 27 く クライアントの使用 , 34 せ 設定 defaultServer, 100, 103, 106 HP CIFS Client, 31 logLevels, 95 servers, 115 概要 , 27 ファイル , 93 そ ソフトウェアの読み込み , 30 て デーモン クラッシュしたとき , 87 停止 , 87 ふ ファイルとディレクトリ , 42 129 索引 ゆ ユーザーマップファイル , 121, 127 ユーティリティ、一覧表 , 67 ろ ローカライズされたクライアント , 22, 31 130 索引
© Copyright 2024 Paperzz