Я пытаюсь присоединить несколько устройств Linux к домену Windows Active Directory с функциями входа в домен и обмена файлами Samba. Я пытаюсь избежать ручного добавления атрибутов POSIX для пользователей и групп AD. Хотя это кажется достаточно простым для выполнения с помощью autorid backend samba, основываясь на документации RedhatФайловые и принт-серверы - недостатки autorid
Autorid создает несогласованные атрибуты uid и gid по сравнению с другими устройствами Linux. Поскольку я хочу, чтобы разрешения на каталоги и файлы, принадлежащие пользователям и группам домена, были согласованы для всех членов (от клиента к серверу и от клиента к клиенту), несогласованные сгенерированные атрибуты неприемлемы для моей среды.
По-видимому, автоматическое сопоставление идентификаторов sssd (ldap_id_mapping = trueв sssd.conf) использует алгоритм, который автоматически генерирует согласованные атрибуты uid и gid для пользователей домена на нескольких хостах Linux. Я бы использовал это как бэкэнд для samba - однако, как утверждает Redhat в своей документации, они не рекомендуют это, поскольку sssd не может выполнять поиск NetBIOS или NTLM. Использование общих ресурсов SMB с SSSD и Winbind
Итак, какие существуют варианты для поиска идеальной конфигурации, которая обеспечивает единообразную автоматическую генерацию атрибутов uid и gid для нескольких членов домена Linux, но при этом сохраняет полную функциональность домена Samba?
решение1
Используйте бэкэнд 'auto-rid', если у вас несколько доменов, и бэкэнд 'rid', если у вас только один. При условии, что вы используете одни и те же строки '[global]' для каждого члена домена Unix, вы получите одинаковые идентификаторы для каждого. Используйте строки 'idmap config' примерно так для бэкэнда 'rid':
idmap config * : backend = tdb
idmap config * : range = 3000-7999
idmap config SAMDOM : backend = rid
idmap config SAMDOM : range = 10000-999999
Где «SAMDOM» — имя вашей рабочей группы.
Благодаря этому я могу гарантировать (например), что группа «Пользователи домена» всегда будет получать идентификатор группы «10513» на всех машинах.
Если вы добавите «winbind use default domain = yes» в «[global]», ваши пользователи смогут входить в систему с «username» вместо «SAMDOM\username» (примечание: вы не можете использовать это с бэкэндом «autorid»)