Idmap config ad — различия между версиями

Версия 00:45, 12 июля 2020

Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Содержание

[убрать]

1 Вступление
2 Преимущества и недостатки бэк-энда ad
3 Планирование диапазонов идентификаторов
4 Предпосылки
- 4.1 RFC2307 и параметры режима шаблона
  - 4.1.1 До Samba v 4.6.0:
  - 4.1.2 После Samba v 4.6.0:

Вступление

Внутренний интерфейс ad сопоставления идентификаторов реализует API только для чтения, чтобы считывать информацию об учетных записях и группах из Active Directory (AD). Серверная часть основана на RFC 2307.

Преимущества и недостатки бэк-энда ad

Преимущества:

Центральное администрирование идентификаторов внутри Active Directory (AD).
Согласованные идентификаторы на всех клиентах и серверах Samba, использующих серверную часть ad.
Требуемые атрибуты нужно создавать только один раз, это можно сделать при создании пользователя или группы.
Идентификаторы кэшируются только локально, они хранятся в базе данных AD на контроллерах домена. Это означает, что в случае повреждения локального кэша владение файлами не теряется.

Недостатки:

Если программа Windows Active Directory Users and Computers(ADUC) не используется, необходимо вручную отслеживать значения идентификаторов, чтобы избежать дублирования.
Значения атрибутов RFC2307 не создаются автоматически, их необходимо добавлять вручную.

Особенности режима информации Winbind NSS:

rfc2307: Индивидуальные логины и пути к домашним каталогам для пользователей.
template: Оболочки входа и базовые пути к домашним каталогам одинаковы для всех пользователей.

Планирование диапазонов идентификаторов

Перед настройкой серверной части AD в файле smb.conf необходимо выбрать уникальные диапазоны идентификаторов для каждого домена. Диапазоны должны быть непрерывными и достаточно большими, чтобы Samba могла назначить идентификатор каждому будущему пользователю и группе, созданным в домене.

Предпосылки

RFC2307 и параметры режима шаблона

До Samba v 4.6.0:

ad бэкэнд поддерживает два режима параметра winbind nss info в разделе [global] файла smb.conf:

winbind nss info = rfc2307: из Active Directory (AD) считывается вся информация:
- Пользователи: Имя пользователя, UID, login shell, путь домашнего каталога и основная группа.
- Группы: Имя групп и их GID.
winbind nss info = template: из Active Directory (AD) считываются только следующие значения:
- Пользователи: Имя пользователя, UID и основная группа.
  Login shell и домашний каталог автоматически настраиваются из независимых от пользователя настроек из файла smb.conf.
- Группы: Имя групп и их GID.

[global]
security = ADS
workgroup = SAMDOM
realm = SAMDOM.EXAMPLE.COM

log file = /var/log/samba/%m.log
log level = 1

winbind nss info = rfc2307

idmap config * : backend = tdb
idmap config * : range = 3000-7999

idmap config SAMDOM:backend = ad
idmap config SAMDOM:schema_mode = rfc2307
idmap config SAMDOM:range = 10000-999999

vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes

После Samba v 4.6.0:

Параметры:

range = low - high
schema_mode = <rfc2307 | sfu | sfu20> - Определяет доступные совпадающие диапазоны UID и GID, для которых серверная часть является доверенной. Обратите внимание, что диапазон действует как фильтр. Если указан любой UID или GID, хранящийся в AD, который выходит за пределы диапазона, то он игнорируется, а соответствующая карта отбрасывается. Он предназначен для того, чтобы избежать случайных совпадений UID / GID между локальными и удаленно определенными идентификаторами.
unix_primary_group = yes/no - Определяет, выбирается ли основная группа пользователя из атрибутов SFU или основной группы AD. Если установлено значение yes, членство в основной группе выбирается из атрибутов LDAP (gidNumber). Если установлено значение no, членство в первичной группе рассчитывается с помощью атрибута LDAP «primaryGroupID».

По умолчанию: no

unix_nss_info = yes/no - Если установлено значение yes, winbind будет извлекать оболочку входа и домашний каталог из атрибутов LDAP. Если задано значение no или в записи AD LDAP отсутствуют атрибуты SFU, используются параметры шаблона оболочки и шаблон homedir.

security = ADS
workgroup = SAMDOM
realm = SAMDOM.EXAMPLE.COM

log file = /var/log/samba/%m.log
log level = 1

idmap config * : backend = tdb
idmap config * : range = 3000-7999

idmap config SAMDOM:backend = ad
idmap config SAMDOM:schema_mode = rfc2307
idmap config SAMDOM:range = 10000-999999
idmap config SAMDOM:unix_nss_info = yes

vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes

Сохраните файл и перезагрузите настройки Samba:

# smbcontrol all reload-config

Samba
Файловое хранилище	Samba как файловый сервер • Подключение общей папки • Samba как файловый сервер в домене
Служба каталогов
	Сервер	Samba как служба каталогов (AD) • Изменение IP-адреса AD • Репликация сервера AD • Резервное копирование и восстановление • Управление пользователями • Групповые политики • Групповая политика паролей
	Клиент	Подключение клиента AD • Устранение неполадок участников домена Samba
	Клиент	Бэкэнды идентификаторов winbind	idmap config tdb • idmap config ad • idmap config rid • idmap config autorid
Прочее	Samba как сервер печати • Проверка конфигурационного файла • Утилиты командной строки • LMHOSTS • Уровень логов • Каталоги Samba • Настройка DNS
Разное	Настройка Samba для привязки к определенным интерфейсам • Тестирование динамических обновлений DNS • Samba Перенастройка бэкенда BIND9 DLZ • Конфигурация DNS для Linux и Unix
Информация	SSSD vs Winbind • Установка Samba

@@ Строка 21: / Строка 21: @@
 ==Предпосылки==
-==RFC2307 и параметры режима шаблона==
+===RFC2307 и параметры режима шаблона===
-До Samba v 4.6.0:
+====До Samba v 4.6.0:====
 ad бэкэнд поддерживает два режима параметра '''winbind nss info''' в разделе '''[global]''' файла '''smb.conf''':
@@ Строка 34: / Строка 33: @@
 **Группы: Имя групп и их GID.
-После Samba v 4.6.0:
+<pre>
+[global]
-You no longer use the winbind nss info parameter, it has been replaced by idmap config DOMAIN : unix_nss_info
-The ad ID mapping back end supports two modes, set in the idmap config DOMAIN : unix_nss_info parameter in the [global] section of the smb.conf file:
-idmap config DOMAIN : unix_nss_info = yes: All information is read from Active Directory (AD):
-Users: Account name, UID, login shell, home directory path, and primary group.
-Groups: Group name and GID.
-These settings are set on a DOMAIN basis, this means you can have different settings for each DOMAIN.
-If a user lacks the RFC2307 attributes, the login shell and home directory are automatically set by user-independent settings in the smb.conf file.
-idmap config DOMAIN : unix_nss_info = no: Only the following values are read from AD:
-Users: Account name, UID, and primary group.
-The login shell and home directory are automatically set by user-independent settings in the smb.conf file.
-Groups: Group name and GID
-This is the default setting.
-There is now a new setting unix_primary_group, this allows you to use another group for the users primary group instead of Domain Users.
-If this is set with unix_primary_group = yes, the users primary group is obtained from the gidNumber attribute found in the users AD object.
-If this is set with unix_primary_group = no, the users primary group is calculated via the "primaryGroupID" attribute.
-The default is 'no'
-Configuring the ad Back End
-Before Samba version 4.6.0:
-To configure the ad back end using the 10000-999999 ID range for the SAMDOM domain, set the following in the [global] section of your smb.conf file:
 security = ADS
 workgroup = SAMDOM
@@ Строка 71: / Строка 44: @@
 winbind nss info = rfc2307
-# Default ID mapping configuration for local BUILTIN accounts
-# and groups on a domain member. The default (*) domain:
-# - must not overlap with any domain ID mapping configuration!
-# - must use a read-write-enabled back end, such as tdb.
 idmap config * : backend = tdb
 idmap config * : range = 3000-7999
-# - You must set a DOMAIN backend configuration
-# idmap config for the SAMDOM domain
 idmap config SAMDOM:backend = ad
 idmap config SAMDOM:schema_mode = rfc2307
@@ Строка 86: / Строка 54: @@
 map acl inherit = yes
 store dos attributes = yes
+</pre>
-From Samba version 4.6.0:
+====После Samba v 4.6.0:====
+Параметры:
-To configure the ad back end using the 10000-999999 ID range for the SAMDOM domain, set the following in the [global] section of your smb.conf file:
+*range = low - high
+*schema_mode = <rfc2307 | sfu | sfu20> - Определяет доступные совпадающие диапазоны UID и GID, для которых серверная часть является доверенной. Обратите внимание, что диапазон действует как фильтр. Если указан любой UID или GID, хранящийся в AD, который выходит за пределы диапазона, то он игнорируется, а соответствующая карта отбрасывается. Он предназначен для того, чтобы избежать случайных совпадений UID / GID между локальными и удаленно определенными идентификаторами.
+*unix_primary_group = yes/no - Определяет, выбирается ли основная группа пользователя из атрибутов SFU или основной группы AD. Если установлено значение yes, членство в основной группе выбирается из атрибутов LDAP (gidNumber). Если установлено значение no, членство в первичной группе рассчитывается с помощью атрибута LDAP «primaryGroupID».
+По умолчанию: no
+*unix_nss_info = yes/no - Если установлено значение yes, winbind будет извлекать оболочку входа и домашний каталог из атрибутов LDAP. Если задано значение no или в записи AD LDAP отсутствуют атрибуты SFU, используются параметры шаблона оболочки и шаблон homedir.
+<pre>
 security = ADS
 workgroup = SAMDOM
@@ Строка 97: / Строка 74: @@
 log level = 1
-# Default ID mapping configuration for local BUILTIN accounts
-# and groups on a domain member. The default (*) domain:
-# - must not overlap with any domain ID mapping configuration!
-# - must use a read-write-enabled back end, such as tdb.
 idmap config * : backend = tdb
 idmap config * : range = 3000-7999
-# - You must set a DOMAIN backend configuration
-# idmap config for the SAMDOM domain
 idmap config SAMDOM:backend = ad
 idmap config SAMDOM:schema_mode = rfc2307
@@ Строка 113: / Строка 85: @@
 map acl inherit = yes
 store dos attributes = yes
+</pre>
-	Setting the default back end is mandatory.
+Сохраните файл и перезагрузите настройки Samba:
-	You must set the range for every domain, including the * default domain. You must set the back end and schema mode for every domain, except the * default domain. The ID ranges of all domains configured in the smb.conf file must not overlap.
+ # smbcontrol all reload-config
-Configure the Winbind NSS info mode:
-To enable the template mode and set, for example, /bin/bash as shell and /home/%U as home directory path:
-# Template settings for login shell and home directory
-template shell = /bin/bash
-template homedir = /home/%U
-The settings are applied to all users in each domain that has the schema_mode = rfc2307 parameter set. From Samba 4.6.0, the global template settings can be overwritten on a domain-basis by enabling the idmap config domain_name:unix_nss_info parameter.
-Samba resolves the %U variable to the session user name. For details, see the VARIABLE SUBSTITUTIONS section in the smb.conf(5) man page.
-By default, Samba sets the Windows primary group as primary group for mapped domain user entries on Unix. The Windows primary group is retrieved from the primaryGroupID attribute of each user entry, this is usually set to the Domain Users group RID. This RID is then used to obtain the gidNumber attribute from the Windows primary group.
-If you are running Samba 4.6.0 or later, you can optionally configure Samba to use the primary group set in the gidNumber attribute in the users entry instead. For example, when using the Active Directory Users and Computers application, this attribute is displayed in the UNIX Attributes tab. To use the group ID set in the users gidNumber attribute as primary group for each user instead of the Windows primary group, enable the following parameter in the [global] section in your smb.conf file:
-idmap config SAMDOM:unix_primary_group = yes
-	Whichever setting you use, the group (or groups) set as the users primary group must have the gidNumber attribute set. For example, if you only use the Domain Users group as the primary group for all accounts, then the Domain Users group must have a gidNumber attribute set. Winbind is unable to map accounts that use primary groups that do not have the gidNumber attribute set.
-	Whichever setting you use, do not change the users primaryGroupID attribute, Windows relies on all users being a member of Domain Users. If you require your Unix users to have a primary group other than Domain Users, you should use Samba version 4.6.0 or later.
-Reload Samba:
-# smbcontrol all reload-config
-For further details, see the smb.conf(5) and idmap_ad(5) man page.
-==Настройка бэк-энда ad==
 {{Samba}}

Idmap config ad — различия между версиями

Версия 00:45, 12 июля 2020

Содержание

Вступление

Преимущества и недостатки бэк-энда ad

Планирование диапазонов идентификаторов

Предпосылки

RFC2307 и параметры режима шаблона

До Samba v 4.6.0:

После Samba v 4.6.0:

Навигация

Просмотры

Персональные инструменты

Навигация

Поиск

Инструменты