Idmap config ad — различия между версиями
Материал из Русский WINE
(Новая страница: «==Вступление== Внутренний интерфейс '''ad''' сопоставления идентификаторов реализует API тол…») |
|||
| (не показано 6 промежуточных версии этого же участника) | |||
| Строка 3: | Строка 3: | ||
==Преимущества и недостатки бэк-энда ad== | ==Преимущества и недостатки бэк-энда ad== | ||
| + | Преимущества: | ||
| + | *Центральное администрирование идентификаторов внутри Active Directory (AD). | ||
| + | *Согласованные идентификаторы на всех клиентах и серверах Samba, использующих серверную часть ad. | ||
| + | *Требуемые атрибуты нужно создавать только один раз, это можно сделать при создании пользователя или группы. | ||
| + | *Идентификаторы кэшируются только локально, они хранятся в базе данных AD на контроллерах домена. Это означает, что в случае повреждения локального кэша владение файлами не теряется. | ||
| + | |||
| + | Недостатки: | ||
| + | *Если программа Windows Active Directory Users and Computers(ADUC) не используется, необходимо вручную отслеживать значения идентификаторов, чтобы избежать дублирования. | ||
| + | *Значения атрибутов RFC2307 не создаются автоматически, их необходимо добавлять вручную. | ||
| + | Особенности режима информации Winbind NSS: | ||
| + | *rfc2307: Индивидуальные логины и пути к домашним каталогам для пользователей. | ||
| + | *template: Оболочки входа и базовые пути к домашним каталогам одинаковы для всех пользователей. | ||
==Планирование диапазонов идентификаторов== | ==Планирование диапазонов идентификаторов== | ||
| + | Перед настройкой серверной части AD в файле smb.conf необходимо выбрать уникальные диапазоны идентификаторов для каждого домена. Диапазоны должны быть непрерывными и достаточно большими, чтобы Samba могла назначить идентификатор каждому будущему пользователю и группе, созданным в домене. | ||
| + | |||
==Предпосылки== | ==Предпосылки== | ||
| − | ==RFC2307 и параметры режима шаблона== | + | ===RFC2307 и параметры режима шаблона=== |
| − | == | + | ====До Samba v 4.6.0:==== |
| + | |||
| + | ad бэкэнд поддерживает два режима параметра '''winbind nss info''' в разделе '''[global]''' файла '''smb.conf''': | ||
| + | |||
| + | *'''winbind nss info = rfc2307''': из Active Directory (AD) считывается вся информация: | ||
| + | **Пользователи: Имя пользователя, UID, login shell, путь домашнего каталога и основная группа. | ||
| + | **Группы: Имя групп и их GID. | ||
| + | *'''winbind nss info = template''': из Active Directory (AD) считываются только следующие значения: | ||
| + | **Пользователи: Имя пользователя, UID и основная группа.<br>Login shell и домашний каталог автоматически настраиваются из независимых от пользователя настроек из файла smb.conf. | ||
| + | **Группы: Имя групп и их GID. | ||
| + | |||
| + | <pre> | ||
| + | [global] | ||
| + | security = ADS | ||
| + | workgroup = SAMDOM | ||
| + | realm = SAMDOM.EXAMPLE.COM | ||
| + | |||
| + | log file = /var/log/samba/%m.log | ||
| + | log level = 1 | ||
| + | |||
| + | winbind nss info = rfc2307 | ||
| + | |||
| + | idmap config * : backend = tdb | ||
| + | idmap config * : range = 3000-7999 | ||
| + | |||
| + | idmap config SAMDOM:backend = ad | ||
| + | idmap config SAMDOM:schema_mode = rfc2307 | ||
| + | idmap config SAMDOM:range = 10000-999999 | ||
| + | |||
| + | vfs objects = acl_xattr | ||
| + | map acl inherit = yes | ||
| + | store dos attributes = yes | ||
| + | </pre> | ||
| + | |||
| + | ====После Samba v 4.6.0:==== | ||
| + | Параметры: | ||
| + | |||
| + | *range = low - high | ||
| + | *schema_mode = <rfc2307 | sfu | sfu20> - Определяет доступные совпадающие диапазоны UID и GID, для которых серверная часть является доверенной. Обратите внимание, что диапазон действует как фильтр. Если указан любой UID или GID, хранящийся в AD, который выходит за пределы диапазона, то он игнорируется, а соответствующая карта отбрасывается. Он предназначен для того, чтобы избежать случайных совпадений UID / GID между локальными и удаленно определенными идентификаторами. | ||
| + | *unix_primary_group = yes/no - Определяет, выбирается ли основная группа пользователя из атрибутов SFU или основной группы AD. Если установлено значение yes, членство в основной группе выбирается из атрибутов LDAP (gidNumber). Если установлено значение no, членство в первичной группе рассчитывается с помощью атрибута LDAP «primaryGroupID». | ||
| + | |||
| + | По умолчанию: no | ||
| + | *unix_nss_info = yes/no - Если установлено значение yes, winbind будет извлекать оболочку входа и домашний каталог из атрибутов LDAP. Если задано значение no или в записи AD LDAP отсутствуют атрибуты SFU, используются параметры шаблона оболочки и шаблон homedir. | ||
| + | |||
| + | <pre> | ||
| + | security = ADS | ||
| + | workgroup = SAMDOM | ||
| + | realm = SAMDOM.EXAMPLE.COM | ||
| + | |||
| + | log file = /var/log/samba/%m.log | ||
| + | log level = 1 | ||
| + | |||
| + | idmap config * : backend = tdb | ||
| + | idmap config * : range = 3000-7999 | ||
| + | |||
| + | idmap config SAMDOM:backend = ad | ||
| + | idmap config SAMDOM:schema_mode = rfc2307 | ||
| + | idmap config SAMDOM:range = 10000-999999 | ||
| + | idmap config SAMDOM:unix_nss_info = yes | ||
| + | |||
| + | vfs objects = acl_xattr | ||
| + | map acl inherit = yes | ||
| + | store dos attributes = yes | ||
| + | </pre> | ||
| + | |||
| + | Сохраните файл и перезагрузите настройки Samba: | ||
| + | # smbcontrol all reload-config | ||
| + | Источники: [https://docs.oracle.com/cd/E88353_01/html/E72487/idmap-ad-8.html#scrolltoc docs.oracle.com], [https://wiki.samba.org/index.php/Idmap_config_ad wiki.samba.org] | ||
{{Samba}} | {{Samba}} | ||
Текущая версия на 00:48, 12 июля 2020
Содержание
[убрать]Вступление
Внутренний интерфейс ad сопоставления идентификаторов реализует API только для чтения, чтобы считывать информацию об учетных записях и группах из Active Directory (AD). Серверная часть основана на RFC 2307.
Преимущества и недостатки бэк-энда ad
Преимущества:
- Центральное администрирование идентификаторов внутри Active Directory (AD).
- Согласованные идентификаторы на всех клиентах и серверах Samba, использующих серверную часть ad.
- Требуемые атрибуты нужно создавать только один раз, это можно сделать при создании пользователя или группы.
- Идентификаторы кэшируются только локально, они хранятся в базе данных AD на контроллерах домена. Это означает, что в случае повреждения локального кэша владение файлами не теряется.
Недостатки:
- Если программа Windows Active Directory Users and Computers(ADUC) не используется, необходимо вручную отслеживать значения идентификаторов, чтобы избежать дублирования.
- Значения атрибутов RFC2307 не создаются автоматически, их необходимо добавлять вручную.
Особенности режима информации Winbind NSS:
- rfc2307: Индивидуальные логины и пути к домашним каталогам для пользователей.
- template: Оболочки входа и базовые пути к домашним каталогам одинаковы для всех пользователей.
Планирование диапазонов идентификаторов
Перед настройкой серверной части AD в файле smb.conf необходимо выбрать уникальные диапазоны идентификаторов для каждого домена. Диапазоны должны быть непрерывными и достаточно большими, чтобы Samba могла назначить идентификатор каждому будущему пользователю и группе, созданным в домене.
Предпосылки
RFC2307 и параметры режима шаблона
До Samba v 4.6.0:
ad бэкэнд поддерживает два режима параметра winbind nss info в разделе [global] файла smb.conf:
- winbind nss info = rfc2307: из Active Directory (AD) считывается вся информация:
- Пользователи: Имя пользователя, UID, login shell, путь домашнего каталога и основная группа.
- Группы: Имя групп и их GID.
- winbind nss info = template: из Active Directory (AD) считываются только следующие значения:
- Пользователи: Имя пользователя, UID и основная группа.
Login shell и домашний каталог автоматически настраиваются из независимых от пользователя настроек из файла smb.conf. - Группы: Имя групп и их GID.
- Пользователи: Имя пользователя, UID и основная группа.
[global] security = ADS workgroup = SAMDOM realm = SAMDOM.EXAMPLE.COM log file = /var/log/samba/%m.log log level = 1 winbind nss info = rfc2307 idmap config * : backend = tdb idmap config * : range = 3000-7999 idmap config SAMDOM:backend = ad idmap config SAMDOM:schema_mode = rfc2307 idmap config SAMDOM:range = 10000-999999 vfs objects = acl_xattr map acl inherit = yes store dos attributes = yes
После Samba v 4.6.0:
Параметры:
- range = low - high
- schema_mode = <rfc2307 | sfu | sfu20> - Определяет доступные совпадающие диапазоны UID и GID, для которых серверная часть является доверенной. Обратите внимание, что диапазон действует как фильтр. Если указан любой UID или GID, хранящийся в AD, который выходит за пределы диапазона, то он игнорируется, а соответствующая карта отбрасывается. Он предназначен для того, чтобы избежать случайных совпадений UID / GID между локальными и удаленно определенными идентификаторами.
- unix_primary_group = yes/no - Определяет, выбирается ли основная группа пользователя из атрибутов SFU или основной группы AD. Если установлено значение yes, членство в основной группе выбирается из атрибутов LDAP (gidNumber). Если установлено значение no, членство в первичной группе рассчитывается с помощью атрибута LDAP «primaryGroupID».
По умолчанию: no
- unix_nss_info = yes/no - Если установлено значение yes, winbind будет извлекать оболочку входа и домашний каталог из атрибутов LDAP. Если задано значение no или в записи AD LDAP отсутствуют атрибуты SFU, используются параметры шаблона оболочки и шаблон homedir.
security = ADS workgroup = SAMDOM realm = SAMDOM.EXAMPLE.COM log file = /var/log/samba/%m.log log level = 1 idmap config * : backend = tdb idmap config * : range = 3000-7999 idmap config SAMDOM:backend = ad idmap config SAMDOM:schema_mode = rfc2307 idmap config SAMDOM:range = 10000-999999 idmap config SAMDOM:unix_nss_info = yes vfs objects = acl_xattr map acl inherit = yes store dos attributes = yes
Сохраните файл и перезагрузите настройки Samba:
# smbcontrol all reload-config
Источники: docs.oracle.com, wiki.samba.org
Samba  | |||
|---|---|---|---|
| Файловое хранилище | Samba как файловый сервер • Подключение общей папки • Samba как файловый сервер в домене | ||
| Служба каталогов | |||
| Сервер | Samba как служба каталогов (AD) • Изменение IP-адреса AD • Репликация сервера AD • Резервное копирование и восстановление • Управление пользователями • Групповые политики • Групповая политика паролей | ||
| Клиент | Подключение клиента AD • Устранение неполадок участников домена Samba | ||
| Бэкэнды идентификаторов winbind | idmap config tdb • idmap config ad • idmap config rid • idmap config autorid | ||
| Прочее | Samba как сервер печати • Проверка конфигурационного файла • Утилиты командной строки • LMHOSTS • Уровень логов • Каталоги Samba • Настройка DNS | ||
| Разное | Настройка Samba для привязки к определенным интерфейсам • Тестирование динамических обновлений DNS • Samba Перенастройка бэкенда BIND9 DLZ • Конфигурация DNS для Linux и Unix | ||
| Информация | SSSD vs Winbind • Установка Samba | ||
