3.4. Comprender y configurar la asignación de ID de Samba
Los dominios de Windows distinguen a los usuarios y grupos mediante identificadores de seguridad (SID) únicos. Sin embargo, Linux requiere UIDs y GIDs únicos para cada usuario y grupo. Si ejecuta Samba como miembro de un dominio, el servicio winbindd
es responsable de proporcionar información sobre los usuarios y grupos del dominio al sistema operativo.
Para que el servicio winbindd
proporcione a Linux identificadores únicos para usuarios y grupos, debe configurar la asignación de identificadores en el archivo /etc/samba/smb.conf
para:
- La base de datos local (dominio por defecto)
- El dominio AD o NT4 del que es miembro el servidor Samba
- Cada dominio de confianza desde el que los usuarios deben poder acceder a los recursos de este servidor Samba
Samba proporciona diferentes back ends de mapeo de ID para configuraciones específicas. Los back ends más utilizados son:
Parte trasera | Caso de uso |
---|---|
|
El dominio por defecto |
| Sólo dominios AD |
| Dominios AD y NT4 |
|
AD, NT4 y el dominio por defecto |
3.4.1. Planificación de rangos de ID de Samba
Independientemente de si almacena los UIDs y GIDs de Linux en AD o si configura Samba para generarlos, cada configuración de dominio requiere un rango de IDs único que no debe solaparse con ninguno de los otros dominios.
Si se establecen rangos de ID que se solapan, Samba no funciona correctamente.
Ejemplo 3.1. Rangos de identificación únicos
A continuación se muestran los rangos de asignación de ID no superpuestos para los dominios por defecto (*
), AD-DOM
, y el TRUST-DOM
.
[global] ... idmap config * : backend = tdb idmap config * : range = 10000-999999 idmap config AD-DOM:backend = rid idmap config AD-DOM:range = 2000000-2999999 idmap config TRUST-DOM:backend = rid idmap config TRUST-DOM:range = 4000000-4999999
Sólo puede asignar un rango por dominio. Por lo tanto, deje suficiente espacio entre los rangos de los dominios. Esto le permite ampliar el rango más adelante si su dominio crece.
Si más adelante asigna un rango diferente a un dominio, se perderá la propiedad de los archivos y directorios creados previamente por estos usuarios y grupos.