Verwenden von Samba als AD-Domänenmitglied mit konsistenten, automatisch generierten POSIX-Attributen für alle Linux-Mitglieder

tag-icon tag-icon active-directory samba samba4 sssd posix
Verwenden von Samba als AD-Domänenmitglied mit konsistenten, automatisch generierten POSIX-Attributen für alle Linux-Mitglieder

Ich versuche, mehrere Linux-Geräte mit einer Windows Active Directory-Domäne zu verbinden, und zwar mit Domänenanmelde- und Samba-Dateifreigabefunktion. Dabei versuche ich, das manuelle Hinzufügen von POSIX-Attributen zu AD-Benutzern und -Gruppen zu vermeiden. Obwohl es mit dem Autorid-Backend von Samba einfach genug zu sein scheint, basierend auf der Dokumentation von RedhatDatei- und Druckserver - Nachteile von Autorid

Autorid erstellt im Vergleich zu anderen Linux-Geräten inkonsistente UID- und GID-Attribute. Da ich möchte, dass die Berechtigungen für Verzeichnisse und Dateien im Besitz von Domänenbenutzern und -gruppen für alle Mitglieder konsistent sind (von Client zu Server und von Client zu Client), sind inkonsistent generierte Attribute für meine Umgebung nicht akzeptabel.

Scheinbar automatisches ID-Mapping von SSDS (ldap_id_mapping = wahrin sssd.conf) verwendet einen Algorithmus, der automatisch konsistente UID- und GID-Attribute für Domänenbenutzer auf mehreren Linux-Hosts generiert. Ich würde dies als Backend für Samba verwenden – Redhat gibt jedoch in seiner Dokumentation an, dass dies nicht empfohlen wird, da sssd keine NetBIOS-Lookups oder NTLM durchführen kann. Verwenden von SMB-Freigaben mit SSSD und Winbind

Welche Optionen gibt es also für die Suche nach einer idealen Konfiguration, die eine konsistente automatische Generierung von UID- und GID-Attributen für mehrere Linux-Domänenmitglieder ermöglicht, aber dennoch die volle Samba-Funktionalität der Domäne zulässt?

Antwort1

Verwenden Sie das Backend „auto-rid“, wenn Sie mehrere Domänen haben, und das Backend „rid“, wenn Sie nur eine haben. Wenn Sie bei jedem Unix-Domänenmitglied die gleichen „[global]“-Zeilen verwenden, erhalten Sie bei jedem die gleichen IDs. Verwenden Sie für das Backend „rid“ Zeilen wie diese:

idmap config * : backend = tdb
idmap config * : range = 3000-7999
idmap config SAMDOM : backend = rid
idmap config SAMDOM : range = 10000-999999

Wobei „SAMDOM“ der Name Ihrer Arbeitsgruppe ist.

Damit kann ich (beispielsweise) garantieren, dass die Gruppe der Domänenbenutzer auf allen Maschinen immer die Gruppen-ID „10513“ erhält.

wenn Sie „winbind use default domain = yes“ zu „[global]“ hinzufügen, können sich Ihre Benutzer mit „Benutzername“ statt „SAMDOM\Benutzername“ anmelden (Hinweis: Sie können dies nicht mit dem „Autorid“-Backend verwenden)

verwandte Informationen