1
-ミラクル・リナックス株式会社
日本Sambaユーザ会 副代表幹事
小田切 耕司
odagiri@miraclelinux.com
Samba + OpenLDAPによる
による
による
によるWindows
ドメインコントローラ
ドメインコントローラ
ドメインコントローラ
ドメインコントローラの
の
の
の構築
構築
構築
構築
~
~
~
~もう
もう
もうWindowsドメインサーバ
もう
ドメインサーバ
ドメインサーバ
ドメインサーバはいらない
はいらない
はいらない
はいらない?!~
?!~
?!~
?!~
2-目次
• 講師紹介
• なぜSambaを使うのか?
• Samba 2.2新機能
• Winbind/LDAPSAM機能
• LDAPSAMによるPDC構築
• 既存環境をLDAP環境へ移行
• WinNT/2000サーバからの移行
• Samba応用機能およびMIRACLE LINUXのSamba
拡張機能紹介
3-講師紹介
• 1997199719971997年年年年 「「「「UNIXUNIXUNIXUNIX--Windows--WindowsWindowsWindowsネットワーキングネットワーキングネットワーキングネットワーキング」」」」((((テクノプレステクノプレステクノプレステクノプレス) ) ) ) 日本初
日本初 日本初
日本初ののののSambaSambaSambaSamba本本本本!!!!
• 1998年199819981998年年年 「「「「SAMBA/NFSSAMBA/NFSSAMBA/NFSSAMBA/NFSによるによるによるによるUNIXUNIX-UNIXUNIX---WindowsWindowsWindowsWindowsネットワーキングネットワーキングネットワーキングネットワーキング」」」」 ((((テクノプレステクノプレステクノプレステクノプレス) ) ) ) 売
売 売
売れてれてれてれて増刷増刷増刷増刷!!!!
• 1999199919991999年年年年3333月月 月月 LinuxWorld LinuxWorldLinuxWorldLinuxWorld Conference JapanConference JapanConference Japan‘99Conference Japan999999 『
『『
『Samba Samba Samba Samba :::: LinuxLinuxLinuxLinuxととWindowsととWindowsWindowsWindowsのののの共存環境構築共存環境構築共存環境構築共存環境構築 』』』』 • 199919991999年1999年年年11111111月日本月日本月日本月日本SambaSambaユーザSambaSambaユーザユーザユーザ会設立会設立会設立会設立 代表幹事代表幹事代表幹事代表幹事 • 2000200020002000年年年年 日経日経日経日経LinuxLinux10LinuxLinux101010月号月号月号~月号~6~~666回連載回連載回連載回連載
「 「「 「企業企業企業企業/学校学校学校における学校におけるにおけるにおけるSambaサーバーサーバー構築サーバーサーバー構築構築構築/運用運用運用運用テクニックテクニックテクニックテクニック」」」」 • 2001200120012001年年年1年111月月月月 三菱電機 三菱電機 三菱電機 三菱電機からからからからミラクルミラクルミラクルミラクル・・・・リナックスリナックス株式会社リナックスリナックス株式会社株式会社株式会社へへへへ転職転職転職転職 • 2001200120012001年年年年 日経日経日経日経Linux Linux 6Linux Linux 666月号月号月号月号~~6~~666回連載回連載回連載回連載
「 「「
「実践実践実践実践Sambaサーバーサーバーサーバーサーバー構築構築/運用構築構築運用運用運用テクニックテクニックテクニックテクニック」」」」 • 2002200220022002年年年年 日経日経日経日経Linux Linux 3Linux Linux 333月号月号月号月号~~6~~666回連載回連載回連載回連載
「 「「
「Samba 2.2によるによるによるによるサーバーサーバーサーバーサーバー構築運用構築運用構築運用構築運用テクニックテクニックテクニック」テクニック」」」
• 2002200220022002年年年年3333月月月月 日本日本Webmin日本日本WebminWebminWebminユーザーズグループユーザーズグループユーザーズグループユーザーズグループ設立設立設立設立 副代表幹事副代表幹事副代表幹事副代表幹事 • 200220022002年2002年年10年101010月月 日経月月日経日経日経11111111月号月号月号月号
「 「「
「複数複数サーバ複数複数サーバサーバのサーバののユーザのユーザユーザユーザ管理管理管理管理ををLDAPををLDAPLDAPLDAPでででで統合統合統合統合しようしようしようしよう」」」」
4
5
-Sambaとは何か?
• Samba(「サンバ」と呼称します)は、Linux および
UNIXマシンを Windows NT/2000互換のファイル
サーバ/プリント・サーバにするオープン・ソース・
ソフトウェアです。 GPL (GNU General Public
License) の元、自由に利用することができます。
• Windowsドメインコントローラ機能をはじめとするさまざ
まな管理機能も搭載
• Windows NT/2000 Serverを置き換えることを可能
にします。
6-なぜ
なぜ
なぜ
なぜWindowsファイルサーハ
ファイルサーハ
ファイルサーハ
ファイルサーバ゙゙゙を
を
を
をLinuxで
で構築
で
で
構築
構築
構築するの
するの
するの
するの?
?
?
?
• 圧倒的
圧倒的
圧倒的に
圧倒的
に
に
に安
安い
安
安
い
い
い導入
導入
導入
導入コスト
コスト
コスト
コスト
– Win2000サーバではCAL(クライアントアクセスライセンス)が必概 – コスト比較例) 10台のファイルサーバを1000人で使用する場合、Windows 2000サーバ の価格を13万円、1ユーザのクライアントアクセスライセンスを5300円と すると導入にはサーバライセンス費用だけで660660660660万円万円万円万円かかることになりま すが、MIRACLE LINUXでは60606060万円万円万円万円、、、1、1/11///10101010ののののコストコストコストコストで導入できます。• 高
高
高い
高
い
い
い性能
性能
性能
性能
– 必概なH/WリソースがWin2000より少なく、スループットも高い• 高
高
高い
高
い
い
い信頼性
信頼性
信頼性
信頼性
– 連続運転に強い(メモリ・リークがない) – オープンソースなので障害調査しやすく、修正も可能• 運用
運用
運用のしやすさ
運用
のしやすさ
のしやすさ
のしやすさ
– UNIXのシェルコマンドを活用して運用を効率化可能 サーバ台数が増えるほど効果的 – 修正モジュール適用にOSのリブートが必概ない • OSインストールも20分ほどで完了 7-Windows 2000よりLinux+Sambaは高性能
• http://www.pcmag.com/article/0,2997,s%253D1474%2526a%253D16554,00.asp 8-1万登録ユーザ、3000同時接続を検証
• MIRACLE LINUX Standard Edition V2.1 の性能検証を
OSDL (オープン・ソース・デベロップメント・ラボ)と共同
で行い、Linux ファイルサーバとして1万ユーザを登録し、
3千の同時ユーザ接続が可能であることを実証しました。
• これにより、MIRACLE LINUX 上で Windows ネットワー
ク用の大規模な Linux ファイルサーバ構築が実現可能
なことが実証されたことになります。
• プレスリリース(2002年10月8日)
http://www.miraclelinux.com/pressroom/details/2002100801.html
• Linux Conference 2002の発表資料
http://www.miraclelinux.com/technet/lc2002_samba/
9
-Sambaの機能
• Windows NT/2000互換のファイルサーバ
– ファイル共有、プリンタ共有
– DFS(分散ファイルシステム)機能
(ルートにもメンバにもなれる)• Windows NT/2000互換のクライアント管理機能
– ドメインコントローラ(ドメイン・ログオンが可能)
– ユーザアカウントの統合管理(PDCだけでユーザ管理可能)
– WINSサーバ機能(Windowsマシンの名前解決)
– マスタブラウザ機能(ネットワークコンピュータ一覧の提供)
– プリンタドライバ自動配布機能(簡単プリンタ設定)
– 移動プロファイル(複数ユーザ/マシンでの共有利用)
– ユーザポリシーの配布(利用者の操作制限)
– ユーザホーム機能(ユーザ専用共有)
– QUOTA:容量制限機能(ユーザ、グループ毎の使用量制限)
10-Samba 2.2の新機能
• ドメイン・メンバ機能→Winbind機能
機能
機能
機能
– Windowsサーバに登録されたユーザ情報をLinux
で利用可能になった。
• ドメイン・コントローラ機能→LDAPSAM機能
機能
機能
機能
– LDAPSAM機能によりユーザ情報をすべてLDAP
のみで統一管理でき、BDCも設置可能になった。
• MS-DFS機能
• プリンタドライバ配布機能
複数サーバの管理機能の充実
11-Samba Winbind機能
• Windows NT/2000サーバ
サーバ
サーバ
サーバが
が
が
がPDCとして
として
として
としてドメイン
ドメイン
ドメイン
ドメインが
が
が
が
構成
構成
構成
構成されている
されている
されている
されている場合
場合
場合
場合にのみ
にのみ
にのみ
にのみ採用可能
採用可能
採用可能
採用可能。
。
。
。
• Windows 2000サーバ
サーバ
サーバ
サーバの
の
の
のActive Directoryを
を
を
を使用
使用
使用
使用すれ
すれ
すれ
すれ
ば
ば
ば
ばユーザ
ユーザ
ユーザ
ユーザ管理
管理
管理
管理ドメイン
ドメイン
ドメイン
ドメインを
を
をツリー
を
ツリー構造
ツリー
ツリー
構造
構造
構造にでき
にでき
にでき
にでき、
、
、
、ある
ある
ある
ある
程度
程度
程度
程度の
の
の
の大規模
大規模
大規模ユーザシステム
大規模
ユーザシステム
ユーザシステム
ユーザシステムを
を構築
を
を
構築
構築
構築できる
できる
できる
できる。
。
。
。
• Sambaサーバ
サーバ
サーバ
サーバが
が
が
が複数台
複数台
複数台になっても
複数台
になってもユーザ
になっても
になっても
ユーザ
ユーザ
ユーザ管理
管理
管理
管理は
は
は
は1
1
1
1
台
台
台
台の
の
の
のWindowsの
の
のPDCで
の
で
で
で操作
操作すれば
操作
操作
すれば
すれば良
すれば
良
良
良い
い
い
い。
。
。
。
ユーザ管理を既存の
WindowsNT/2000サーバに統合
12-Winbindによるユーザ管理機能
Linux + Samba
WinNT/2000 Win95/98 Linux / Solaris telnet/ftpロクロクログ゙゙゙オンロクオンオンオン SMB認証認証認証認証 (暗号暗号暗号暗号ハハハパ゚゚゚スワートスワートスワード゙゙゙)スワート))) PAM認証認証認証認証 (uid,gid) Windowsロクロクロクログ゙゙゙オンオンオンオン 認証 認証 認証 認証ととととuid,gidのののの変換変換変換変換 Windows NT/2000 Serversmbデーモン
winbindデーモン
smb認証認証認証認証 NSSWITCHによる uid,gid取得13
-Samba
LDAPSAM機能
•
ユーザ
ユーザ情報
ユーザ
ユーザ
情報
情報
情報を
をLDAPサーバ
を
を
サーバ
サーバ
サーバで
で
で
で管理
管理
管理
管理
• Sambaサーバ
サーバ
サーバ
サーバを
を
を
をPDC/BDCとして
として
として
としてドメイン
ドメイン
ドメイン
ドメイン構成可能
構成可能
構成可能
構成可能
– Windowsドメイン
ドメイン
ドメイン
ドメインの
の
の
のユーザ
ユーザ
ユーザも
ユーザ
もLDAPサーバ
も
も
サーバ
サーバ
サーバで
で
で
で管理可能
管理可能
管理可能
管理可能に
に
に
に
•
ユーザ
ユーザ管理
ユーザ
ユーザ
管理
管理
管理ドメイン
ドメイン
ドメイン
ドメインを
を
を
をツリー
ツリー構造
ツリー
ツリー
構造
構造
構造にでき
にでき
にでき
にでき、
、
、
、大規模
大規模
大規模
大規模
ユーザシステム
ユーザシステム
ユーザシステム
ユーザシステムを
を
を構築
を
構築
構築
構築できる
できる
できる
できる。
。
。
。
•
専用
専用の
専用
専用
の
の
のオフ
オプ
オフ
オフ
゚
゚
゚ション
ション
ション
ション(--with-ldapsam)で
でコンハ
で
で
コンハ
コンハ
コンパ
゚
゚
゚イル
イルする
イル
イル
する
する必要
する
必要
必要
必要が
が
が
が
ある
ある
ある
ある。
。
。
。MIRACLE LINUXより
より
より
よりパッケージ
パッケージ
パッケージ
パッケージ提供
提供
提供
提供。
。
。
。
ユーザ管理をLDAPに統合
14-Samba LDAP機能
Samba
(PDC/BDC) Win2000/XP Win98/Me Linux / SolarisLinux/Solaris
telnet/ftpロクロクロクログ゙゙゙オンオンオンオンLDAPサーバ
が動作する
UNIX/Linux/
Winマシン゙
sambaAccount• WindowsWindowsWindowsトトトド゙゙゙メインWindows メインメイン認証メイン認証や認証認証やややUNIXUNIXUNIXUNIXのの認証のの認証認証認証がすべてがすべてがすべてがすべてLDAPLDAPでLDAPLDAPでで統合可能で統合可能統合可能統合可能になるになるになるになる
複数サーバの
ユーザを
一元管理
posixAccount トトトド゙゙゙メインメインメインメイン ロクロクロクログ゙゙゙オンオンオンオン マスターサーハ マスターサーハ マスターサーハ マスターサーバ゙゙゙ スレーフ スレーフ スレーフ スレーブ゙゙゙サーハサーハサーハサーバ゙゙゙ 複製 複製 複製 複製 ファイル ファイル ファイル ファイル共有共有共有共有 トトトド゙゙゙メインメンハメインメンハメインメンバ゙゙゙なメインメンハななな Samba/Win 障害時 障害時 障害時 障害時にににに切切切切りりり替り替替替ええええ トトトド゙゙゙メインメインメインメイン認証認証認証認証 15-Part 2.
複数
複数
複数
複数サーバ
サーバ
サーバ
サーバの
の
の
のユーザ
ユーザ
ユーザ
ユーザ管理
管理
管理
管理を
を
を
を
LDAP
LDAP
LDAP
LDAPで
で
で
で統合
統合
統合しよう
統合
しよう
しよう
しよう
16-複数
複数
複数
複数サーバ
サーバ
サーバ
サーバの
の
の
のユーザ
ユーザ
ユーザ管理問題点
ユーザ
管理問題点
管理問題点
管理問題点
• Linux/UNIX
Linux/UNIX
Linux/UNIX
Linux/UNIX マシン
マシン
マシン
マシンを
を
を
を使用
使用
使用
使用するには
するにはユーザー
するには
するには
ユーザー
ユーザー
ユーザー登録
登録
登録
登録が
が必概
が
が
必概
必概
必概であ
であ
であ
であ
り
り
り
り,
,
,
,一
一
一
一つひとつの
つひとつの
つひとつの
つひとつのマシン
マシンにそれぞれ
マシン
マシン
にそれぞれ
にそれぞれ
にそれぞれユーザー
ユーザー
ユーザー登録
ユーザー
登録
登録
登録していくの
していくの
していくの
していくの
は
は
は
は面倒
面倒
面倒
面倒
• L
L
L
Liiiinux/UNIX
nux/UNIX
nux/UNIX
nux/UNIX の
の
の
の場合
場合,
場合
場合
,
,NFS
,
NFS
NFS
NFS や
や
や
やファイル
ファイル・
ファイル
ファイル
・・
・コピー
コピー
コピー
コピーの
の
の
の関係
関係で
関係
関係
で
で
で同
同
同じ
同
じ
じ
じユー
ユー
ユー
ユー
ザー
ザー
ザー
ザーの
の
の
のuid
uid
uid
uid ,
,
,
,gid
gid
gid
gid はすべての
はすべてのマシン
はすべての
はすべての
マシン
マシン
マシン間
間
間
間で
で同一
で
で
同一
同一
同一にしなければなら
にしなければなら
にしなければなら
にしなければなら
ないのだが
ないのだが
ないのだが
ないのだが,
,
,
,統合管理
統合管理
統合管理
統合管理が
が
が
が容易
容易
容易
容易ではない
ではない
ではない
ではない
• Windows NT/2000/XP
Windows NT/2000/XP
Windows NT/2000/XP マシン
Windows NT/2000/XP
マシン
マシン
マシンにも
にも
にも
にも同様
同様
同様
同様に
にユーザー
に
に
ユーザー
ユーザー登録
ユーザー
登録
登録
登録,
,
,
,パス
パス
パス
パス
ワード
ワード
ワード
ワード設定
設定
設定が
設定
が
が
が必概
必概。
必概
必概
。
。
。特
特
特
特に
にサーバー
に
に
サーバー
サーバー
サーバーや
や
や
や共有
共有
共有
共有マシン
マシン
マシン
マシンがあると
があると
があると
があると
Linux/UNIX
Linux/UNIX
Linux/UNIX
Linux/UNIX のように
のように
のように
のようにコマンド
コマンド
コマンド
コマンドで
で
で
で一括登録
一括登録するのが
一括登録
一括登録
するのが
するのが
するのが容易
容易
容易でなく
容易
でなく
でなく
でなく
面倒
面倒
面倒
面倒
管理コストの増大
17
-従来
従来
従来
従来の
の
の
の方式
方式
方式
方式と
と
と
と問題点
問題点
問題点
問題点
• NIS
NIS
NIS
NIS (
((
(Network Information
Network Information System
Network Information
Network Information
System
System
System )
))
)とは
とは
とは
とは
– 米米米米Sun Microsystems Sun Microsystems Sun Microsystems Sun Microsystems 社社社社がががが開発開発開発開発、、/etc/passwd 、、/etc/passwd /etc/passwd /etc/passwd ,,,,group group ,group group ,,hosts ,hosts hosts hosts ファイルファイルファイルファイル を
を を
をネットワークネットワークネットワークネットワーク上上上上でででで集中管理集中管理する集中管理集中管理するするする仕組仕組仕組仕組みみみみ
• NIS
NIS
NIS
NIS や
や
やNIS+
や
NIS+
NIS+
NIS+が
が最近使
が
が
最近使
最近使
最近使われない
われない
われない
われない理由
理由
理由
理由
– アクセスアクセスアクセスアクセス制御機能制御機能制御機能制御機能がががが乏乏乏乏しいためしいためしいためしいため,,セキュリティ,,セキュリティセキュリティセキュリティのののの面面で面面ででで問題問題問題がある問題があるがあるがある – 拡張性拡張性拡張性拡張性やややや性能性能に性能性能ににに問題問題問題問題がありがありがありがあり,,大規模,,大規模大規模大規模システムシステムシステムシステムでのでのでのでの使用使用に使用使用にに適に適適適さないさないさないさない – 運用運用運用運用やややや設定設定が設定設定ががが難難難難しいしいしいしい
– Windows Windows Windows Windows ややややSamba Samba Samba Samba とのとの連携とのとの連携連携連携がががが容易容易容易容易でないでないでないでない
– SUN Solaris SUN Solaris ではSUN Solaris SUN Solaris ではではでは今後今後今後今後NIS/NIS+NIS/NIS+NIS/NIS+NIS/NIS+ははははサポートサポートをサポートサポートををを縮小縮小縮小縮小するするするする予定予定予定予定。。。。 LDAP LDAP LDAP LDAP にににに移行移行移行移行するようにするようにするようにするように推奨推奨推奨推奨しているしているしているしている
現在のサーバ管理には機能不足
18-LDAP
LDAP
LDAP
LDAPを
を
を
を使
使
使うことの
使
うことの
うことの
うことの利点
利点
利点
利点
• 機能拡張性機能拡張性機能拡張性機能拡張性がががが高高高高いいいい ユーザー ユーザー ユーザー ユーザー管理管理管理管理だけでなくだけでなくだけでなくだけでなく,,,,組織情報組織情報組織情報組織情報のののの管理管理,管理管理,,,コンピュータコンピュータコンピュータコンピュータのの管理のの管理管理管理,,,,アアアア プリケーション プリケーション プリケーション プリケーションのののの管理管理管理管理,,,,メールメールメール・メール・・・アドレスアドレス帳アドレスアドレス帳帳帳,,,電話帳,電話帳電話帳電話帳などいろいろななどいろいろななどいろいろななどいろいろな用用用用 途 途 途 途でででで自由自由自由自由にににに拡張拡張して拡張拡張してしてして使用使用使用使用できるできるできるできる• UNIX/Linux UNIX/Linux UNIX/Linux UNIX/Linux だけでなくだけでなくだけでなくだけでなくSamba Samba Samba Samba ややWindows ややWindows Windows Windows でもでもでもでも利用利用利用利用できるできるできるできる • 性能性能性能性能にににに関関関関してもしても拡張性してもしても拡張性拡張性拡張性がががが高高高高いいいい
商用 商用 商用
商用ののののLDAP LDAP LDAP LDAP 製品製品製品は製品は数十億はは数十億数十億数十億ののののデータデータデータデータ・・・・エントリエントリエントリエントリでもでもでもでも実運用実運用実運用実運用にに耐にに耐耐耐えるえるえるえる処処処処 理性能 理性能 理性能 理性能をををを備備備備えているえているえているえている。。。。 Linux Linux Linux Linux ディストリビューションディストリビューションディストリビューションディストリビューションにににに添付添付される添付添付されるされるされるオープンソースオープンソースオープンソースのオープンソースののの OpenLDAP OpenLDAP OpenLDAP OpenLDAP もももも数千数千数千数千~~~数万~数万数万エントリ数万エントリでのエントリエントリでのでの実績での実績実績実績がが多数がが多数多数多数あるあるあるある • 細かな細細細かなかなかなアクセスアクセス制御機能アクセスアクセス制御機能制御機能を制御機能ををを有有有有しておりしており,しておりしており,,,SSL SSL SSL SSL などでのなどでの暗号化などでのなどでの暗号化暗号化暗号化もももも可能可能可能可能 で で で でセキュリティセキュリティセキュリティがセキュリティががが強固強固強固強固であるであるであるである • ディレクトリをディレクトリディレクトリディレクトリをを木構造を木構造で木構造木構造でで管理で管理管理管理できできできでき,,サーバー,,サーバーサーバーのサーバーののの分散管理分散管理が分散管理分散管理がが可能が可能可能可能であるであるであるである • 複製機能複製機能複製機能を複製機能ををを備備備備えておりえておりえておりえており,,障害,,障害障害障害にもにもにも対応にも対応対応対応できるできるできるできる 19
-LDAP認証はsmbpasswd認証よりも8倍高速!
• Intel Xeon 2.2GHz ×××× 2(Hyper Threading ON) • Memory 1Gバイトバイトバイトバイト • 100M Ethernet • Kernel 2.4.9 • Samba2.2.4日本語版日本語版日本語版日本語版 • OpenLDAP 2.0.23 ※ ※ ※ ※MIRACLE LINUX社測定社測定社測定社測定
登録
登録
登録
登録ユーザ
ユーザ
ユーザ
ユーザ数
数
数
数
認証時間認証時間認証時間認証時間
20-LDAP
(Lightweight Directory Access Protocol)
概概
概概
概概
概概
• LDAP LDAP LDAP LDAP ははははディレクトリディレクトリディレクトリディレクトリ・・サービス・・サービスサービスサービスののの一の一一つ一つつつ
• 高機能高機能高機能高機能だがだがだがだが運用負荷運用負荷運用負荷や運用負荷や開発やや開発開発開発コストコストコストコストががが高が高かった高高かったかったITUかったITUITUITU---- T T T T 勧告勧告の勧告勧告ののX.500 のX.500 X.500 X.500 ディレクトディレクトディレクトディレクト リ
リ リ
リ・・・・サービスサービスサービスサービスをををを「「「「90 90 %90 90 %%%のののの機能機能機能機能ををを10 を10 %10 10 %%の%のののコストコストコストコストでででで実現実現する実現実現するする」する」」」ためにためにために設計ために設計設計設計 • LDAP LDAP LDAP をLDAP をををサポートサポートしたサポートサポートしたしたした商用製品商用製品商用製品商用製品
– Windows2000 Active DirectryWindows2000 Active DirectryWindows2000 Active DirectryWindows2000 Active Directry
http://www.microsoft.com/japan/windows2000/techinfo/howitworks/d http://www.microsoft.com/japan/windows2000/techinfo/howitworks/d http://www.microsoft.com/japan/windows2000/techinfo/howitworks/d
http://www.microsoft.com/japan/windows2000/techinfo/howitworks/default.asefault.asefault.asefault.as p#section2
p#section2 p#section2 p#section2 – Novell eDirectryNovell eDirectryNovell eDirectryNovell eDirectry
http://www.novell.co.jp/products/nds/productinfo.html http://www.novell.co.jp/products/nds/productinfo.html http://www.novell.co.jp/products/nds/productinfo.html http://www.novell.co.jp/products/nds/productinfo.html – iPlanet Directory Server iPlanet Directory Server iPlanet Directory Server iPlanet Directory Server ((((現在現在現在まだ現在まだまだまだLinux Linux ではLinux Linux ではではでは動作動作動作しない動作しないしないしない))))
http://ja.iplanet.com/products/ids5_0/index.html http://ja.iplanet.com/products/ids5_0/index.html http://ja.iplanet.com/products/ids5_0/index.html http://ja.iplanet.com/products/ids5_0/index.html – IBM SecureWay DirectoryIBM SecureWay DirectoryIBM SecureWay DirectoryIBM SecureWay Directory
http://www http://www http://www
http://www----6.ibm.com/jp/software/ec/ecprod/be/moreinfo.html6.ibm.com/jp/software/ec/ecprod/be/moreinfo.html6.ibm.com/jp/software/ec/ecprod/be/moreinfo.html6.ibm.com/jp/software/ec/ecprod/be/moreinfo.html – Oracle9i ApplicationServer Oracle9i ApplicationServer Oracle9i ApplicationServer Oracle9i ApplicationServer ::::Internet DirectoryInternet DirectoryInternet DirectoryInternet Directory
http://www.oracle.co.jp/9i/9ias/func.html http://www.oracle.co.jp/9i/9ias/func.html http://www.oracle.co.jp/9i/9ias/func.html http://www.oracle.co.jp/9i/9ias/func.html – ロータスドミノディレクトリロータスドミノディレクトリロータスドミノディレクトリロータスドミノディレクトリ http://www.lotus.co.jp/home.nsf/Content/DP2_Notes_Domino_R50_out http://www.lotus.co.jp/home.nsf/Content/DP2_Notes_Domino_R50_out http://www.lotus.co.jp/home.nsf/Content/DP2_Notes_Domino_R50_out http://www.lotus.co.jp/home.nsf/Content/DP2_Notes_Domino_R50_outlinelinelineline • OpenLDAP OpenLDAP OpenLDAP OpenLDAP ((((http://www.openldap.org/http://www.openldap.org/http://www.openldap.org/http://www.openldap.org/))))
21
-LDAP
LDAP
LDAP
LDAPで
で
で何
で
何
何
何ができるか
ができるか
ができるか
ができるか?
?
?
?
•
Linux
Linux
Linux
Linuxユーザ
ユーザ
ユーザ
ユーザ
の
の
の
の統合管理
統合管理
統合管理
統合管理
•
Samba
Samba
Samba
Sambaユー
ユー
ユー
ユー
ザ
ザ
ザ
ザの
の
の統合管
の
統合管
統合管
統合管
理
理
理
理
•
Web
Web
Web
Webサーバ
サーバ
サーバ
サーバ
(
((
(Apache
Apache
Apache
Apache)
))
)の
の
の
の
アクセス
アクセス
アクセス
アクセス制御
制御
制御
制御
•
電話帳
電話帳
電話帳
電話帳、
、
、メー
、
メー
メー
メー
ルアドレス
ルアドレス
ルアドレス
ルアドレス帳
帳
帳
帳
22-LDAPとRDBMSの違い
• LDAP(ネットワークプロトコル)とSQL(言語)
LDAP LDAP LDAP LDAP RDBMSRDBMSRDBMSRDBMS 用途 検索性能重視、頻繁な更新には向かない 検索だけでなく頻繁な更新も重視 構造 木構造(行や列といった概念はない) 表構造(行や列が存在) 更新 トランザクションの概念はない トランザクションの概念あり 分散 ツリーの枝単位で分散配置が可能 キーの範囲で分散配置が可能 操作 LDAP(ネットワークプロトコル)で操作 プロトコルは単純 SQL(プログラム言語)で操作 複雑な操作が可能 検索手法 木の枝葉をたどるイメージ 表の行を走査するイメージ 23-Linux
Linux
Linux
Linux/UNIX
/UNIX
/UNIX
/UNIXの
の
の
のユーザ
ユーザ
ユーザ
ユーザ管理機構
管理機構
管理機構
管理機構
• NSSWITCH
NSSWITCH
NSSWITCH
NSSWITCH機能
機能
機能
機能
– ////etc/etc/etc/etc/nsswitchnsswitchnsswitchnsswitch.conf.confで.conf.confででで、、、、各種各種情報各種各種情報情報の情報ののの取得先取得先取得先取得先をををを指定可能指定可能指定可能指定可能
• PAM
PAM
PAM
PAM認証機構
認証機構
認証機構
認証機構
– //etc///etc/etc/etc/pampampampam.d/.d/の.d/.d/ののの中中中中ででアプリケーションででアプリケーションアプリケーションごとのアプリケーションごとのごとのごとの認証認証ルール認証認証ルールルールルールをををを指定可能指定可能指定可能指定可能
• LDAP
LDAP
LDAP
LDAP認証
認証
認証
認証を
を使
を
を
使
使うには
使
うには
うには
うには、
、NSS,PAM
、
、
NSS,PAM
NSS,PAM
NSS,PAMの
の
の
のサポート
サポート
サポートが
サポート
が
が
が必須
必須
必須
必須
– NSS,PAMNSS,PAMNSS,PAMにNSS,PAMににに対応対応対応対応しないしないSUN4,HPしないしないSUN4,HPSUN4,HPSUN4,HP----UX10UX10UX10にUX10に対にに対対しては対してはしてはしては、、、、NISNIS-NISNIS---LDAPLDAPLDAPLDAPゲーゲーゲーゲー トウェイ
トウェイ トウェイ
トウェイ((((ypldapd: http://www.padl.com/)ypldapd: http://www.padl.com/)ypldapd: http://www.padl.com/)でypldapd: http://www.padl.com/)ででで対応可能対応可能対応可能対応可能
Linux OS
情報取得(NSSWITCH)
ユーザ認証(PAM)
file NIS
LDAP DNS
login su
ssh ftp
24
-ネームサービススイッチ
ネームサービススイッチ
ネームサービススイッチ
ネームサービススイッチ機能
機能
機能
機能
• LDAP
LDAP
LDAP
LDAPを
を
を
を認証
認証
認証
認証で
で
で
で使用
使用するには
使用
使用
するには
するには
するには/
//
/etc/nsswitch.conf
etc/nsswitch.conf
etc/nsswitch.conf
etc/nsswitch.confを
を
を
を以下
以下
以下
以下
のように
のように
のように
のように変更
変更
変更
変更
• /
/lib/libnss_ldap.so.2
//
lib/libnss_ldap.so.2
lib/libnss_ldap.so.2
lib/libnss_ldap.so.2が
が
が呼
が
呼ばれる
呼
呼
ばれる
ばれる
ばれる。
。
。
。
• /
/lib/libnss_wins.so.2
//
lib/libnss_wins.so.2
lib/libnss_wins.so.2
lib/libnss_wins.so.2 を
を
を
を使
使うと
使
使
うと
うとWINS(Windows Internet
うと
WINS(Windows Internet
WINS(Windows Internet
WINS(Windows Internet
Name Service)
Name Service)
Name Service)
Name Service)を
を
を
を使
使
使
使って
って
って
って名前解決可能
名前解決可能
名前解決可能
名前解決可能
passwd:
files
ldap
group:
files
ldap
shadow:
files
ldap
25
-プラグマブル
プラグマブル
プラグマブル
プラグマブル認証機能
認証機能
認証機能
認証機能
• /
/etc/pam.d/system
//
etc/pam.d/system
etc/pam.d/system
etc/pam.d/system-
--
-auth
auth
auth
authに
に以下
に
に
以下
以下
以下を
を
を
を設定
設定
設定
設定
• /
/etc/pam.d/sshd
//
etc/pam.d/sshd
etc/pam.d/sshd
etc/pam.d/sshdなどに
などに
などに
などに以下
以下を
以下
以下
を
を
を設定
設定
設定
設定
26
-Part 3:
::
:実践編
実践編
実践編
実践編
• Linux,Samba,Windowsユーザ
すべてをOpenLDAPで管理する
① パッケージインストール
② LDAPサーバの設定
③ LDAPクライアントの設定
④ Sambaの設定
⑤ Windowsクライアントの設定
27-• インストール
インストール
インストール
インストールCD
CD
CDの
CD
の
の
のRPM
RPM
RPM
RPM
– nss_ldap
– nscd
– openldap
– openldap-client
– openldap-servers
(
((
(サーバマシン
サーバマシン
サーバマシン
サーバマシンのみ
のみ
のみ
のみ)
))
)
• http://www.miraclelinux.com/technet/openldap/– smbldap-tools
– samba-2.2.4.ja-ldap(
通常
通常
通常
通常の
の
の
のハ
パ゚゚゚ッケーシ
ハ
ハ
ッケーシ
ッケーシ
ッケージ゙゙゙は
は
は
は不可
不可
不可
不可
)
• 「
「「
「
rpm –Uvh
パッケージ
パッケージ
パッケージ
パッケージ名
名」
名
名
」」
」で
で
で
で導入
導入
導入
導入
OpenLDAP
OpenLDAP
OpenLDAP
OpenLDAP導入
導入
導入
導入と
と
と
と設定
設定
設定
設定
28-OpenLDAPサーバの設定
• 設定
設定
設定
設定ファイル
ファイル
ファイル
ファイル
サーバ
サーバ
サーバ
サーバ:
::
:
/etc/openldap/slapd.conf
クライアント
クライアント
クライアント
クライアント:
::
:
NSS,PAM NSS,PAM NSS,PAM NSS,PAM用用用:用:::/etc/ldap.conf Ldapadd Ldapadd Ldapadd Ldapaddなどのなどのなどのなどの管理管理管理管理コマンドコマンドコマンドコマンド用用用用::::/etc/openldap/ldap.conf• OpenLDAP
OpenLDAP
OpenLDAP
OpenLDAP 管理者
管理者
管理者ガイド
管理者
ガイド
ガイド
ガイド
http://www.interq.or.jp/earth/inachi/openldap/admin/ind ex-ja.html
• Red Hat Linux 7.2
Red Hat Linux 7.2
Red Hat Linux 7.2
Red Hat Linux 7.2 リファレンスガイド
リファレンスガイド
リファレンスガイド
リファレンスガイド
http://www.jp.redhat.com/manual/Doc72/RH-DOCS/rhl-rg-ja-7.2/ch-ldap.html
29
-/etc/slapd.confパラメータ(1)
• suffix ベース・サフィックスを指定する
通常はドメイン名をベースに指定
例) suffix dc=miraclelinux,dc=com
suffix "ou=sales,ou=yokohama,o=miraclelinux,c=jp"
CN=commonName L=localityName ST=stateOrProvinceName O=organizationName OU=organizationalUnitName C=countryName STREET=streetAddress DC=domainComponent UID=userid 30-/etc/slapd.confパラメータ(2)
• rootdn
LDAPサーバの管理者のDN(Distinguished Name:識別名)を
指定する。
なお管理者DNを含むユーザDNには、英大文字、英子文字の
区別はない。
管理者DNの例)
– rootdn "cn=Manager,dc=miraclelinux,dc=com"• rootpw
LDAPサーバの管理者パスワードを設定する。
– そのままのパスワードを指定するか暗号化したものを設定する – 例)miracleというパスワードをMD5ハッシュする # slappasswd -s miracle -h {MD5} – rootdnをLDAPに登録されているユーザを指定し、LDAPの中にパスワー ドが格納されていれば、rootpwを指定する必概はない。 31-/etc/slapd.confパラメータ(3)
• include
– 与えたファイルから追加の設定情報を読み込む。 – 通常はスキーマ定義ファイルを読み込むために使用する 例) include /etc/openldap/schema/samba.schema• database
– LDAPのデータを格納するのに使用するバックエンド・データベースを 指定。現在ldbm, shell, passwd のいずれかを指定できる。 通常ldbmを使用• directory
– LDBMファイルを格納するディレクトリを指定 – 例)directory /var/lib/ldap• index
– 作成する索引の属性とタイプを指定する。 • 例1) uid,gidに関してequal(等値)検索用の索引を作成 index uidNumber,gidNumber eq • 例2) mail(メールアドレス)、surname(名字)に関して、equal検索用と subinitial(前方一致)の索引を作成index mail,surname eq,subinitial 32
-/etc/slapd.confパラメータ(4)
• Slapd.confの例:サフィックスを"dc=miraclelinux,dc=com"、管理
者DNを"cn=Manager,dc=miraclelinux,dc=com"、管理者パスワー
ドをmiracle
include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema include /etc/openldap/schema/redhat/rfc822-MailMember.schema include /etc/openldap/schema/redhat/autofs.schema include /etc/openldap/schema/redhat/kerberosobject.schema include /etc/openldap/schema/samba.schema database ldbm directory /var/lib/ldap suffix "dc=miraclelinux,dc=com“ rootdn "cn=Manager,dc=miraclelinux,dc=com“ rootpw miracle index objectClass,uidNumber,gidNumber,memberUid eq index cn,mail,surname,givenname eq,subinitial index uid pres,eqindex rid eq
• 設定が終了したら、OpenLDAPデーモンを起動させる。
# service ldap restart
• システム起動時に自動的に動くように以下を設定
33
-LDAPクライアントをauthconfigで設定
• authconigにより/etc/nsswitc.confと/etc/openldap/ldap.conf、/etc/pam.d/system-authが 変更される。 • authconfig実行例(ユーザ情報の設定) NSSWITCHの設定が行われる。 • authconfig実行例(認証の設定) PAMの設定が行われる。 34-LDAP
LDAP
LDAP
LDAPによる
による
による
によるLinux
Linux
Linux
Linuxユーザ
ユーザ
ユーザの
ユーザ
の
の
の統合管理
統合管理
統合管理
統合管理
• smbldap-toolsによるによるによるによる管理管理管理管理 – smbldap_conf.pm LDAPサーバサーバサーバサーバややややSambaののののデフォルトデフォルトデフォルトデフォルト設定設定を設定設定ををを記述記述記述記述するするするファイルするファイルファイルファイル – smbldap-populate.pl LDAPサーバサーバサーバサーバのののの初期化初期化を初期化初期化ををを行行行行うううう((((rootツリーツリーツリーツリーとととデフォルトユーザとデフォルトユーザのデフォルトユーザデフォルトユーザののの登録登録登録登録)))) – smbldap-useradd.pl UNIX/Linux およびおよびおよびおよびSamba/Windowsユーザユーザユーザユーザ アカウントアカウントをアカウントアカウントをを追加を追加追加追加するするするする – smbldap-userdel.pl UNIX/Linux およびおよびおよびおよびSamba/Windowsユーザユーザユーザユーザ アカウントアカウントをアカウントアカウントをを削除を削除削除削除するするするする – smbldap-usermod.pl UNIX/Linux およびおよびおよびおよびSamba/Windowsユーザユーザユーザユーザ アカウントアカウントをアカウントアカウントをを変更を変更変更変更するするするする – smbldap-usershow.pl UNIX/Linux およびおよびおよびSamba/Windowsユーザおよび ユーザユーザユーザ アカウントアカウントアカウントアカウント情報情報を情報情報ををを表示表示表示表示するするするする – smbldap-passwd.pl UNIX/Linux およびおよびおよびおよびSamba/Windowsユーザユーザユーザユーザののののパスワードパスワードパスワードパスワードをを設定をを設定設定設定////変更変更変更する変更するするする – smbldap-groupadd.pl UNIX/Linux およびおよびおよびおよびSamba/Windowsののののグループグループをグループグループををを追加追加追加追加するするするする – smbldap-groupdel.pl UNIX/Linux およびおよびおよびおよびSamba/Windowsののののグループグループをグループグループををを削除削除削除削除するするするする – smbldap-groupmod.pl UNIX/Linux およびおよびおよびおよびSamba/Windowsののののグループグループをグループグループををを変更変更変更変更るるるる – smbldap-groupshow.pl UNIX/Linux およびおよびおよびおよびSamba/Windowsののののグループグループをグループグループををを表示表示表示表示するするするする 35-LDAP
LDAP
LDAP
LDAPによる
による
による
によるSamba
Samba
Samba
Sambaユーザ
ユーザ
ユーザ
ユーザの
の
の
の統合管理
統合管理
統合管理
統合管理
• ユーザ
ユーザ
ユーザの
ユーザ
の
の登録
の
登録
登録
登録
– ユーザユーザ・ユーザユーザ・・・アカウントアカウントアカウントアカウントはは英大文字はは英大文字英大文字は英大文字ははは使用使用せず使用使用せずせずせず、、、英子文字、英子文字、英子文字英子文字、、、数字数字数字数字のみのみのみのみ で
でで
で11151555バイトバイトバイトバイト以下以下以下以下。。日本語。。日本語日本語日本語ももも使用不可も使用不可使用不可使用不可
– 例例)例例)))yamadayamadayamadaというyamadaというユーザというというユーザユーザユーザををを登録を登録し登録登録ししし、、、、パスワードパスワードパスワードパスワードをををを設定設定設定設定 # smbldap
# smbldap# smbldap
# smbldap----useradd.pl useradd.pl useradd.pl useradd.pl ----a a a a ----m yamadam yamadam yamadam yamada # smbldap
# smbldap# smbldap
# smbldap----passwd.pl yamadapasswd.pl yamadapasswd.pl yamadapasswd.pl yamada
36
-LDAP
LDAP
LDAP
LDAPの
の
のGUI
の
GUI
GUI
GUIクライアント
クライアント
クライアント
クライアントの
の
の
の紹介
紹介
紹介
紹介
• LinuxLinuxLinuxでのみLinuxでのみでのみでのみ使用可能使用可能な使用可能使用可能ななツールなツールツールツール– GQGQGQGQ((((日本語利用不可日本語利用不可日本語利用不可日本語利用不可):):):): http://biot.com/gq/ http://biot.com/gq/ http://biot.com/gq/ http://biot.com/gq/
• WindowsWindowsWindowsでのみWindowsでのみでのみでのみ使用可能使用可能な使用可能使用可能なななツールツールツールツール – Softerra LDAP BrowserSofterra LDAP BrowserSofterra LDAP BrowserSofterra LDAP Browser((((無償無償無償無償、、、、図図図図
は は は
は実行例実行例実行例実行例)、)、)、LDAP Administrator)、LDAP AdministratorLDAP AdministratorLDAP Administrator ( (( (有償有償有償):有償):):): http://www.ldapadministrator.com http://www.ldapadministrator.com http://www.ldapadministrator.com http://www.ldapadministrator.com / // /
• LinuxLinuxLinuxでもLinuxでもでもでもWindowsWindowsWindowsWindowsでもでも使用でもでも使用使用使用できるできるできるできるツーツーツーツー ル
ル ル ル
– LDAP Browser/EditorLDAP Browser/EditorLDAP Browser/EditorLDAP Browser/Editor((((JDK 1.2.2JDK 1.2.2JDK 1.2.2JDK 1.2.2 移行 移行 移行 移行がががが必概必概必概必概)))) http://www.iit.edu/~gawojar/ldap/ http://www.iit.edu/~gawojar/ldap/ http://www.iit.edu/~gawojar/ldap/ http://www.iit.edu/~gawojar/ldap/
37
-Windowsドメイン
ドメイン
ドメイン
ドメインを
を
を
をLDAP+Sambaで
で
で
で構築
構築
構築
構築
• SambaでででWindowsドメインで ドメインドメインをドメインをを構築を構築構築し構築ししし、、Windowsマシン、、 マシンマシンマシンををををドメインメンバドメインメンバドメインメンバドメインメンバにすることでにすることでにすることでにすることで、、、、 Windows 9x / NT / 2000 / XP マシンマシンマシンマシンももももLDAPでででで管理管理することが管理管理することがすることが可能することが可能可能可能になるになるになるになる • SambaのののPDCでの ででで可能可能可能可能なことなことなことなこと – ドメインログオンドメインログオンドメインログオンドメインログオン((((シングルサインオンシングルサインオンシングルサインオン)シングルサインオン – NTLM認証認証(認証認証(((チャレンジチャレンジチャレンジチャレンジ&&レスポンス&&レスポンスレスポンスレスポンス方式方式方式方式)))) – ログオンスクリプトログオンスクリプトログオンスクリプトログオンスクリプト – 移動移動移動移動プロファイルプロファイルプロファイルプロファイル – NT4相当相当相当相当ののののユーザポリシーユーザポリシーユーザポリシー(NT4/2000/XP)ユーザポリシー – Win98相当相当相当相当ののののグループポリシーグループポリシーグループポリシーグループポリシー(95/98/Me) • SambaのののPDCでまだできないことの でまだできないことでまだできないことでまだできないこと – Win2000相当相当相当相当ののののグループポリシーグループポリシーグループポリシーグループポリシー – Kerberos認証認証認証認証(((チケット(チケット方式チケットチケット方式方式方式)))) – 他他他ドメイン他ドメインドメインドメインとととと信頼関係信頼関係を信頼関係信頼関係をを結を結結ぶ結ぶぶぶ – ワークステーションワークステーションワークステーションワークステーションののののログオンログオンログオンログオン可能時間可能時間を可能時間可能時間をを制限を制限制限制限するするするする。。。。
• Samba 2.2.4ででででBDCになることはになることはになることはになることは出来出来出来出来るがるがるがるがSAMのの複製のの複製複製複製ができないができないができない。ができない。LDAPの。。 ののの複製機複製機複製機複製機 能
能 能
能ををを使用を使用使用使用することですることですることでSambaをすることで をををPDC,BDCにできるにできるにできるにできる
• smbldap-toolsをををを使使使って使ってってって管理管理することで管理管理することですることですることでLinuxパスワードパスワードパスワードパスワード(MD5)、、、、Windowsパスワードパスワードパスワードパスワード (LANMAN)のののの違違違違いをいをいをいを意識意識することなく意識意識することなくすることなくすることなくユーザユーザユーザユーザをををを管理可能管理可能管理可能管理可能 • Windowsクライアントクライアントクライアントからのクライアントからのからのからのパスワードパスワード変更パスワードパスワード変更変更変更もももも可能可能可能可能 38
-/etc/samba/smb.confの
の
の
の設定
設定
設定
設定(1)
• ldap server
– LDAPサーバサーバサーバサーバがががが稼働稼働稼働している稼働しているしているホストしているホスト名ホストホスト名名名をををを指定指定する指定指定するするする。。。。 – デフォルトデフォルトデフォルトはデフォルトはははlocalhost((((同一同一同一同一マシンマシン)マシンマシン)))であるであるである。である。。。 – 例例例例))))ldap server = ldap1.miraclelinux.com• ldap suffix
– アカウントアカウントアカウントアカウント検索検索検索のための検索のためののためののためのDN(Distinguished Name)をを指定をを指定指定指定するするするする。。。。 – 例例例例))))ldap suffix="dc=miraclelinux,dc=com"• ldap admin dn
– LDAP管理者管理者管理者管理者ののののDNをををを指定指定指定指定するする。するする。。。これはこれはこれはこれは/etc/openldap/slapd.confにに指定にに指定指定し指定ししし たものと たものと たものと たものと同一同一同一同一とするとするとする。とする。。。またまたまたまた、、、、このこの管理者このこの管理者管理者の管理者のののパスワードパスワードはパスワードパスワードははは以下以下以下以下ののののsmbpasswd コマンド コマンド コマンド コマンドでででで設定設定設定する設定するするする。。。。 • smbpasswd -w パスワードパスワードパスワードパスワード– 例例例例))))ldap admin dn = "cn=Manager,ou=people,dc=miraclelinux,dc=com"
39
-/etc/samba/smb.confの
の
の
の設定
設定
設定
設定(2)
• ldap filter
– sambaAccountオブジェクトクラスオブジェクトクラスオブジェクトクラスオブジェクトクラスからからからからログインログインログインログイン名名、名名、、、uidををを検索を検索検索検索するためするためするためするため に にに にフィルタフィルタをフィルタフィルタををを指定指定する指定指定するするする。。。。これはこれはデフォルトこれはこれはデフォルトデフォルトのままでデフォルトのままでのままでのままで使用使用使用使用するするする。する。。。 – ldap filter = "(&(uid=%u)(objectclass=sambaAccount))"• ldap port
– LDAPサーバサーバサーバサーバににににアクセスアクセスアクセスアクセスするときのするときのするときのするときのポートポート番号ポートポート番号番号番号をををを指定指定する指定指定するするする。。。。 – SSLでででで暗号化暗号化暗号化暗号化するするするする場合場合は場合場合ははは636をををを使用使用使用使用しし、しし、、、暗号化暗号化暗号化暗号化しないしないしないしない場合場合は場合場合ははは389をををを使用使用使用使用 する するする する。。。。• ldap ssl
– LDAPとのとのとのとの通信通信通信通信ををSSLでをを ででで暗号化暗号化暗号化暗号化するするするする場合場合は場合場合はははon、、、、しないしないしないしない場合場合は場合場合はははoffとするとするとするとする。。。。
LDAPv3 StartTLS 拡張拡張拡張拡張をををを使用使用使用使用するするするする場合場合は場合場合ははstart_tls をは ををを使用使用する使用使用するするする。。。。
40