Usando o Samba como um membro do domínio AD com atributos POSIX consistentes gerados automaticamente em membros Linux

tag-icon tag-icon active-directory samba samba4 sssd posix
Usando o Samba como um membro do domínio AD com atributos POSIX consistentes gerados automaticamente em membros Linux

Estou tentando associar vários dispositivos Linux a um domínio do Windows Active Directory com logon de domínio e funcionalidade de compartilhamento de arquivos Samba. Estou tentando evitar a adição manual de atributos POSIX a usuários e grupos AD aqui. Embora pareça simples o suficiente para executar com o backend autorid do samba, com base na documentação do RedhatServidores de arquivos e impressão - desvantagens do autorid

Autorid cria atributos uid e gid inconsistentes quando comparado com outros dispositivos Linux. Como desejo que as permissões em diretórios e arquivos de propriedade de usuários e grupos de domínio sejam consistentes em todos os membros (de cliente para servidor e de cliente para cliente), atributos gerados inconsistentes são inaceitáveis ​​para meu ambiente.

Aparentemente, mapeamento automático de id sssd (ldap_id_mapping = verdadeiroem sssd.conf) usa um algoritmo que gera automaticamente atributos uid e gid consistentes para usuários de domínio em vários hosts Linux. Eu usaria isso como back-end para o samba - no entanto, como o Redhat afirma em sua documentação, eles não recomendam isso, pois o sssd não pode realizar pesquisas NetBIOS ou NTLM. Usando compartilhamentos SMB com SSSD e Winbind

Portanto, para buscar uma configuração ideal que permita a geração automática consistente de atributos uid e gid em vários membros do domínio Linux, mas ainda permita a funcionalidade completa do samba de domínio, quais opções existem?

Responder1

Use o back-end 'auto-rid' se você tiver vários domínios e o back-end 'rid' se tiver apenas um. Desde que você use as mesmas linhas '[global]' em todos os membros do domínio Unix, você obterá os mesmos IDs em cada um. Use linhas 'idmap config' mais ou menos assim para o backend 'rid':

idmap config * : backend = tdb
idmap config * : range = 3000-7999
idmap config SAMDOM : backend = rid
idmap config SAMDOM : range = 10000-999999

Onde 'SAMDOM' é o nome do seu grupo de trabalho.

Com isso, posso garantir (por exemplo) que o grupo Usuários do Domínio sempre obterá o ID do grupo '10513' em todas as máquinas.

se você adicionar 'winbind use default domain = yes' a '[global]', seus usuários poderão fazer login com 'username' em vez de 'SAMDOM\username' (nota: você não pode usar isso com o backend 'autorid' )

informação relacionada