Idmap config ad

Материал из Русский WINE
Перейти к: навигация, поиск

Вступление

Внутренний интерфейс ad сопоставления идентификаторов реализует API только для чтения, чтобы считывать информацию об учетных записях и группах из Active Directory (AD). Серверная часть основана на RFC 2307.

Преимущества и недостатки бэк-энда ad

Преимущества:

  • Центральное администрирование идентификаторов внутри Active Directory (AD).
  • Согласованные идентификаторы на всех клиентах и ​​серверах Samba, использующих серверную часть ad.
  • Требуемые атрибуты нужно создавать только один раз, это можно сделать при создании пользователя или группы.
  • Идентификаторы кэшируются только локально, они хранятся в базе данных AD на контроллерах домена. Это означает, что в случае повреждения локального кэша владение файлами не теряется.

Недостатки:

  • Если программа Windows Active Directory Users and Computers(ADUC) не используется, необходимо вручную отслеживать значения идентификаторов, чтобы избежать дублирования.
  • Значения атрибутов RFC2307 не создаются автоматически, их необходимо добавлять вручную.

Особенности режима информации Winbind NSS:

  • rfc2307: Индивидуальные логины и пути к домашним каталогам для пользователей.
  • template: Оболочки входа и базовые пути к домашним каталогам одинаковы для всех пользователей.

Планирование диапазонов идентификаторов

Перед настройкой серверной части AD в файле smb.conf необходимо выбрать уникальные диапазоны идентификаторов для каждого домена. Диапазоны должны быть непрерывными и достаточно большими, чтобы Samba могла назначить идентификатор каждому будущему пользователю и группе, созданным в домене.

Предпосылки

RFC2307 и параметры режима шаблона

До Samba v 4.6.0:

ad бэкэнд поддерживает два режима параметра winbind nss info в разделе [global] файла smb.conf:

  • winbind nss info = rfc2307: из Active Directory (AD) считывается вся информация:
    • Пользователи: Имя пользователя, UID, login shell, путь домашнего каталога и основная группа.
    • Группы: Имя групп и их GID.
  • winbind nss info = template: из Active Directory (AD) считываются только следующие значения:
    • Пользователи: Имя пользователя, UID и основная группа.
      Login shell и домашний каталог автоматически настраиваются из независимых от пользователя настроек из файла smb.conf.
    • Группы: Имя групп и их GID.
[global]
security = ADS
workgroup = SAMDOM
realm = SAMDOM.EXAMPLE.COM

log file = /var/log/samba/%m.log
log level = 1

winbind nss info = rfc2307

idmap config * : backend = tdb
idmap config * : range = 3000-7999

idmap config SAMDOM:backend = ad
idmap config SAMDOM:schema_mode = rfc2307
idmap config SAMDOM:range = 10000-999999

vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes

После Samba v 4.6.0:

Параметры:

  • range = low - high
  • schema_mode = <rfc2307 | sfu | sfu20> - Определяет доступные совпадающие диапазоны UID и GID, для которых серверная часть является доверенной. Обратите внимание, что диапазон действует как фильтр. Если указан любой UID или GID, хранящийся в AD, который выходит за пределы диапазона, то он игнорируется, а соответствующая карта отбрасывается. Он предназначен для того, чтобы избежать случайных совпадений UID / GID между локальными и удаленно определенными идентификаторами.
  • unix_primary_group = yes/no - Определяет, выбирается ли основная группа пользователя из атрибутов SFU или основной группы AD. Если установлено значение yes, членство в основной группе выбирается из атрибутов LDAP (gidNumber). Если установлено значение no, членство в первичной группе рассчитывается с помощью атрибута LDAP «primaryGroupID».

По умолчанию: no

  • unix_nss_info = yes/no - Если установлено значение yes, winbind будет извлекать оболочку входа и домашний каталог из атрибутов LDAP. Если задано значение no или в записи AD LDAP отсутствуют атрибуты SFU, используются параметры шаблона оболочки и шаблон homedir.
security = ADS
workgroup = SAMDOM
realm = SAMDOM.EXAMPLE.COM

log file = /var/log/samba/%m.log
log level = 1

idmap config * : backend = tdb
idmap config * : range = 3000-7999

idmap config SAMDOM:backend = ad
idmap config SAMDOM:schema_mode = rfc2307
idmap config SAMDOM:range = 10000-999999
idmap config SAMDOM:unix_nss_info = yes

vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes

Сохраните файл и перезагрузите настройки Samba:

# smbcontrol all reload-config

Источники: docs.oracle.com, wiki.samba.org

Samba
Search.png
Файловое хранилище Samba как файловый серверПодключение общей папкиSamba как файловый сервер в домене
Служба каталогов
Сервер Samba как служба каталогов (AD)Изменение IP-адреса ADРепликация сервера ADРезервное копирование и восстановлениеУправление пользователямиГрупповые политикиГрупповая политика паролей
Клиент Подключение клиента AD Через WinbindЧерез SSSD
Бэкэнды идентификаторов winbind idmap config tdbidmap config adidmap config rididmap config autorid
Прочее Samba как сервер печатиПроверка конфигурационного файлаУтилиты командной строки
Информация SSSD vs WinbindУстановка Samba