[samba-jp:21349] 2011年03月05日 Samba最新動向&座談会まとめ (Re: 明日と明後日はOSC2011 Tokyo/Springです)

2011年 3月 8日 (火) 01:46:17 JST

たかはしもとのぶです。
ようやくですが、当日の模様について。
日記に書いたこととダブりますが、ご容赦ください。
・[Samba]Samba最新動向&座談会@オープンソースカンファレンス2011
 Tokyo/Spring
 <http://damedame.monyo.com/?date=20110305#p01>
おかげさまで、ざっとですが60名以上の方にいらっしゃっていただきました。
セミナとしては、Samba 4 の最新動向を中心に 30 分程度話した後で、話した
内容にかかわらず聞きたいことを聞いてくださいということで、質疑を 15 分
程度行いました。
最初は「座談会」ということで、互いに情報交換しあうようなノリにしたいと
思ってたんですが、人数が多かったのであきらめて、質疑の時間を若干多めに
とるという形態に切り替えました。期待していた方、スミマセン。
セミナの資料は、以下で公開しています。
・オープンソースカンファレンス2011 Tokyo/Spring
 <http://ow.ly/49oML>
当日の模様は、naitoh さんが以下でまとめてくださってます。
・3/4開催のオープンソースカンファレンス2011 Samba最新動向&座談会 に関
 連したTweet #osc11tk 
 <http://togetter.com/li/108584>
質問がぜんぜんでなかったらどうしようと思ってたんですが、まったくの杞憂
で、皆さんからいろんな質問をいただけたので、こちらとしても張り合いがあ
りました。また Samba 4 のハナシをすべきか、現行の Samba 3 系列のネタに
すべきかも、正直かなり悩んでいるところではありますが、会場の反応を見て
いる限り、ある程度の方にはご満足いただけたかなぁと思ってます。
以下、質疑の内容になります。その場ではほとんどメモれなかったので、かな
り記憶に頼って再現しています。また細かい表現などは敢えて汲み取らず、文
章語表記に直していますが、ここは違う、とかこんなことも言ってた、とかあっ
たら、是非コメント願います。
==========
・(Solarisで)ZFSを使っている場合にACLは使えるようになるのか。
→Samba 4のファイルサーバとしての実装はまだこれからなので、現時点で使
 えるかどうかは試していない。しかし、おそらくSamba 3と同等の実装は行
 われると考えられる。
 Samba 3とSolaris 10の組合せは一度しかコンパイルしていないが、その時
 は動いていた。後は「使える」の定義にもよるが、前述したようにWindows
 と完全互換ではないものの、Windowsのアクセス許可とACLのマッピングはで
 きているので、その意味では「使える」といってよい。
・(講演で)SMB 2.0対応の話があったが、何がよいのか。
→完全にWindowsの質問になるが......。すぐに挙げられる点としては、ファイ
 ルしステム上で暗号化したファイルを同じく暗号化をサポートしたリモート
 マシン上のファイル共有にコピーする場合、暗号化した状態のままコピー
 される点。従来は一度復号化してネットワーク上で送信し、リモートマシン
 で再度暗号化して格納していた。
 もう一点はパフォーマンス。従来のSMBではプロトコル上の理由でWAN環境
 など遅延の大きい環境でのパフォーマンスが非常に悪かった。SMB 2.0では
 この点が解消されている。Windowsでも同様であり、SMB 2.0をサポートした
 Windows VistaやWindows Server 2008以降同士で通信を行うことで、SMB
 2.0の恩恵にあずかれる。
・Windows Vista以降でブラウジングの方式が変更されたと聞いたがSambaも対
 応しているのか
→LLMNRなどのことだと思うが、Sambaでは実装されていない。
 Samba 4でどうなるかは不透明な点もあるが、メーリングリスト等を見てい
 ても、まったく話が出てこないため、現時点で実装される可能性は低い。
・そうなると、従来どおりのブラウジング機能しか使えないということになる
 が、LLMNR→ブラウジングといった順番で使用されるのか、IPv6環境ではど
 うなるのか。
→確認した限り、WindowsマシンはLLMNRも含め、様々なプロトコルで一気に問
 い合わせを行い、返却された結果をどのプロトコルで取得されたかの区別な
 しに表示するようである。Windows 7でもブラウジング機能自体はサポート
 されている。なおIPv6環境ではブラウジングはサポートされない。これは仕
 様である。
→IPv6が企業内ネットワークに広まるにはまだ数年かかると思われる。当面の
 間は企業内ネットワークではIPv4が使われると考えられるため、上記の点が
 問題となる可能性も当面は低いであろう(太田)
・現在Sambaドメインを構築しておりDC1台でクライアント100台程度の構成で
 ある。認証データベースとしてTDBを用いているが、BDCを構築することは可
 能か。
→原理的には可能だがお薦めできない。PDCとBDCの間の同期をファイルを手作
 業でコピーして行う必要があることに加え、コンピュータアカウントのパス
 ワードはBDC側でも更新される可能性があるためである(現実的にはコンピュー
 タアカウントのパスワード停止を禁止する運用が必要となる)。
→上記の理由もあるので、現実的にはLDAPを使うのが唯一の解である。もちろ
 んSamba 4に移行という解もあるが...(太田)
・ところでSambaのDC1台でどの程度のクライアント台数をサポートできるのか。
→ファイルサーバと兼用していないケースでは数千ユーザをサポートした実績
 はある(太田)
・それは何台と考えればよいか。
→1ユーザ1台と考えればよい。なおファイルサーバと兼用する場合はファイル
 サーバ側の負荷が高くなるため、その点を勘案する必要がある。特に朝一で
 全員が一斉にログオンするような環境では考慮が必要(太田)
・SMB 2.0は(Samba 3.5では実験段階という話が講演であったが)Samba 3.6で
 はどうなるのか。
→そろそろSamba 3.6.0がリリースされる。明確なアナウンスは確認できてい
 ないが、少なくともSamba 3.5系列よりは格段に安定性が向上すると考えら
 れる。
・VPN環境でSambaを使用しているがパフォーマンスがでない。なぜか。
→VPNを使用しているということは遠隔地との通信か?
・そうである。
→先ほどSMB 2.0の質問への回答で言及したように、SMBはネットワーク遅延が
 大きい環境では顕著にパフォーマンスが悪くなる。これはSambaの問題では
 なく、プロトコルの問題である。現在の対策としては一種のキャッシュ装置
 (WAFS)を設置する位しかない。
・Sambaドメインを構築している。スキャナ付きプリンタの機能で、ファイル
 サーバ上の共有にスキャンしたファイルを配置する機能があるがアクセスを
 拒否されてしまい配置できない。どうすればよいか。
→できればWindowsのドメインでどうなるかを確認してほしい。もしくはメー
 カーにWindowsのドメイン上へ配置するための方法を確認するという手もあ
 る。Samba側の問題の可能性としてはセキュリティ設定の可能性はある。
・講演でSecure by Defaultになったとあったが具体的にはどういうことか。
 Secure by Defaultというパラメータが追加されたのか。
→デフォルト値がよりセキュリティが高くなったということであり、パラメー
 タが追加、廃止された訳ではない。例えばlanman authというパラメータの
 デフォルト値がyesからnoに変更された。このパラメータも含め、基本的に
 Windows 9x系のマシンが使用している弱い暗号化方式は使えなくなっている。
 ただし、繰り返しになるがパラメータ自体が廃止された訳ではないので、設
 定を変更すれば従来どおりに使用することはできる。この変更はSamba
 3.2.0から行われたため、現在Samba 3.0系列を使っていてSamba 3.2系列以
 降にバージョンアップを考えている場合は留意してほしい。
・Samba 4ではLDAP機能が内蔵されるという話だが、OpenLDAPはサポートされ
 なくなるのか。
→講演でも言及したように、サポートされなくなる訳ではない。ただし、現在
 はOpenLDAPのサポートが最優先という位置づけになっていたが、Samba
 4では内蔵のLDAP機能のサポートが最優先となり、OpenLDAPはその次という
 位置づけになるだろう。
→現在UNIXのユーザ管理もLDAPで行っているのか(太田)
・そういう訳ではない。
→UNIXのユーザ管理をLDAPで行っていないのであればいずれにしても影響は少
 ないだろう。ユーザ管理をLDAPで行っている場合、Windows(Active
 Directory)のスキーマにはLDAP認証を行うのに必要なスキーマが存在してい
 ないため、注意が必要である(太田)
→そもそもWindowsのLDAPは、デフォルトでは認証なしにはRootDSE以外のDNに
 アクセスできないため、LDAPによるUNIXユーザの管理には使えない。現在
 OpenLDAPでUNIXのユーザ管理を行っており、SambaもOpenLDAPを使っている
 といった環境では留意が必要である。
ここまでが質疑であった話です。以下はセミナ終了後に聞かれた質問ですが。
・SambaがサポートしているActive Directoryはどのレベルか
→現状インストール直後のドメインの機能レベルはWindows Server 2003と
 なっている。Samba開発者に聞いた限り、Windows Server 2008互換を目指し
 ており、実際そうしたスキーマや設定も存在しているものがある。
・現在個人レベルでWindowsマシンとLinuxマシンとの間のファイル共有に使っ
 ているレベルである。講演を聞いていると、今後のSambaの方向性はいわゆ
 るエンタープライズ方法だと思われるが、その場合個人向けの機能はどうな
 るのか。
→講演でお伝えしたように、現時点でSamba 4のファイルサーバ機能はこれか
 らという段階だが、最終的にはSamba 3のソースコードが統合され、Samba 3
 と同レベルの機能がサポートされるだろう。ファイルサーバとしての機能は
 ある意味完成しており、これ以上機能強化を行う必要性がない段階であるた
 め、あまり話題になっていない。しかし、特段機能を縮退させるという話は
 出ていないので、Samba 4でも現状使っている機能はサポートされると考え
 てよいだろう。
---
TAKAHASHI Motonobu <monyo @ monyo.com>