私は、ドメイン ログオンと Samba ファイル共有機能の両方を備えた Windows Active Directory ドメインに複数の Linux デバイスを参加させようとしています。ここでは、AD ユーザーとグループに POSIX 属性を手動で追加しないようにしています。Redhat のドキュメントによると、Samba の autorid バックエンドで実行するのは簡単そうですが、ファイルおよびプリント サーバー - autorid の欠点
Autorid は、他の Linux デバイスと比較すると、一貫性のない uid 属性と gid 属性を作成します。ドメイン ユーザーとグループが所有するディレクトリとファイルに対する権限をすべてのメンバー (クライアントからサーバー、クライアントからクライアント) 間で一貫しているようにしたいので、一貫性のない生成された属性は私の環境では受け入れられません。
どうやら、SSSD自動IDマッピング(ldap_id_mapping = 真sssd.conf 内の sssd は、複数の Linux ホストにわたるドメイン ユーザーに対して一貫した uid および gid 属性を自動的に生成するアルゴリズムを使用します。私はこれを samba のバックエンドとして使用しますが、Redhat のドキュメントに記載されているように、sssd は NetBIOS ルックアップや NTLM を実行できないため、これは推奨されません。 SSSD と Winbind で SMB 共有を使用する
では、複数の Linux ドメイン メンバーにわたって uid および gid 属性の一貫した自動生成を可能にしながら、完全なドメイン samba 機能も可能にする理想的な構成を求める場合、どのようなオプションがありますか?
答え1
複数のドメインがある場合は「auto-rid」バックエンドを使用し、ドメインが 1 つしかない場合は「rid」バックエンドを使用します。すべての Unix ドメイン メンバーで同じ「[global]」行を使用すると、それぞれに同じ ID が付与されます。「rid」バックエンドには、次のような「idmap config」行を使用します。
idmap config * : backend = tdb
idmap config * : range = 3000-7999
idmap config SAMDOM : backend = rid
idmap config SAMDOM : range = 10000-999999
ここで、「SAMDOM」はワークグループ名です。
これにより、たとえば、Domain Users グループがすべてのマシン上で常にグループ ID「10513」を取得することが保証されます。
'winbind use default domain = yes' を '[global]' に追加すると、ユーザーは 'SAMDOM\username' ではなく 'username' でログインできるようになります (注意: これは 'autorid' バックエンドでは使用できません)