도메인 로그온과 Samba 파일 공유 기능을 모두 사용하여 여러 Linux 장치를 Windows Active Directory 도메인에 가입시키려고 합니다. 여기서는 AD 사용자 및 그룹에 POSIX 속성을 수동으로 추가하지 않으려고 합니다. Redhat의 문서에 따르면 Samba의 자동 삭제 백엔드를 사용하여 수행할 수 있을 만큼 간단해 보이지만파일 및 인쇄 서버 - autorid의 단점
Autorid는 다른 Linux 장치와 비교할 때 일관되지 않은 uid 및 gid 속성을 생성합니다. 도메인 사용자 및 그룹 소유 디렉터리와 파일에 대한 권한이 모든 구성원(클라이언트에서 서버로, 클라이언트에서 클라이언트로)에서 일관되게 유지되기를 원하므로 일관되지 않게 생성된 속성은 내 환경에서 허용되지 않습니다.
겉으로는 SSD 자동 ID 매핑(ldap_id_mapping = 사실sssd.conf)은 여러 Linux 호스트에서 도메인 사용자에 대해 일관된 uid 및 gid 속성을 자동으로 생성하는 알고리즘을 사용합니다. 나는 이것을 Samba의 백엔드로 사용하려고 합니다. 그러나 Redhat이 문서에서 언급했듯이 sssd는 NetBIOS 조회 또는 NTLM을 수행할 수 없기 때문에 이를 권장하지 않습니다. SSSD 및 Winbind에서 SMB 공유 사용
따라서 여러 Linux 도메인 구성원에 걸쳐 uid 및 gid 속성을 일관되게 자동 생성할 수 있으면서도 전체 도메인 Samba 기능을 허용하는 이상적인 구성을 찾으려면 어떤 옵션이 있습니까?
답변1
도메인이 여러 개인 경우 'auto-rid' 백엔드를 사용하고 도메인이 하나만 있는 경우 'rid' 백엔드를 사용하세요. 모든 Unix 도메인 구성원에서 동일한 '[global]' 행을 사용하면 각각에서 동일한 ID를 얻게 됩니다. 'rid' 백엔드에 대해 다음과 같은 'idmap config' 행을 사용하십시오.
idmap config * : backend = tdb
idmap config * : range = 3000-7999
idmap config SAMDOM : backend = rid
idmap config SAMDOM : range = 10000-999999
여기서 'SAMDOM'은 작업 그룹 이름입니다.
이를 통해 예를 들어 Domain Users 그룹이 모든 컴퓨터에서 항상 그룹 ID '10513'을 얻도록 보장할 수 있습니다.
'winbind use default domain = yes'를 '[global]'에 추가하면 사용자는 'SAMDOM\username' 대신 'username'으로 로그인할 수 있습니다(참고: 'autorid' 백엔드에서는 이를 사용할 수 없습니다). )