Estoy intentando unir varios dispositivos Linux a un dominio de Active Directory de Windows con la funcionalidad de inicio de sesión de dominio y uso compartido de archivos Samba. Estoy tratando de evitar agregar manualmente atributos POSIX a usuarios y grupos de AD aquí. Aunque parece bastante simple de realizar con el backend autorid de samba, según la documentación de RedhatServidores de archivos e impresión: desventajas de autorid
Autorid crea atributos uid y gid inconsistentes en comparación con otros dispositivos Linux. Dado que quiero que los permisos en los directorios y archivos propiedad de usuarios y grupos del dominio sean consistentes en todos los miembros (de cliente a servidor y de cliente a cliente), los atributos generados inconsistentes son inaceptables para mi entorno.
Aparentemente, el mapeo de identificación automático de sssd (ldap_id_mapping = verdaderoen sssd.conf) utiliza un algoritmo que genera automáticamente atributos uid y gid consistentes para los usuarios del dominio en múltiples hosts Linux. Yo usaría esto como backend para samba; sin embargo, como indica Redhat en su documentación, no lo recomiendan ya que sssd no puede realizar búsquedas de NetBIOS o NTLM. Uso de recursos compartidos SMB con SSSD y Winbind
Entonces, para buscar una configuración ideal que permita la generación automática consistente de atributos uid y gid en múltiples miembros del dominio de Linux pero que aún permita la funcionalidad samba de dominio completo, ¿qué opciones existen?
Respuesta1
Utilice el motor de eliminación automática si tiene varios dominios y el motor de eliminación automática si solo tiene uno. Si utiliza las mismas líneas '[global]' en cada miembro del dominio Unix, obtendrá la misma ID en cada uno. Utilice líneas 'idmap config' similares a esta para el backend 'deshacerse':
idmap config * : backend = tdb
idmap config * : range = 3000-7999
idmap config SAMDOM : backend = rid
idmap config SAMDOM : range = 10000-999999
Donde 'SAMDOM' es el nombre de su grupo de trabajo.
Con eso, puedo garantizar (por ejemplo) que el grupo Usuarios de dominio siempre obtendrá el ID de grupo '10513' en todas las máquinas.
Si agrega 'winbind use dominio predeterminado = yes' a '[global]', sus usuarios podrán iniciar sesión con 'nombre de usuario' en lugar de 'SAMDOM\nombre de usuario' (nota: no puede usar esto con el backend 'autorid' )