3.6.4. Añadir manualmente una configuración de asignación de ID si IdM confía en un nuevo dominio
Samba requiere una configuración de asignación de ID para cada dominio desde el que los usuarios acceden a los recursos. En un servidor Samba existente que se ejecuta en un cliente IdM, debe añadir manualmente una configuración de asignación de ID después de que el administrador haya añadido una nueva confianza a un dominio de Active Directory (AD).
Requisitos previos
- Has configurado Samba en un cliente IdM. Después, se añadió una nueva confianza a IdM.
- Los tipos de cifrado DES y RC4 para Kerberos deben estar desactivados en el dominio AD de confianza. Por razones de seguridad, RHEL 8 no admite estos tipos de cifrado débil.
Procedimiento
Autenticar usando el keytab del host:
[root@idm_client]#
kinit -k
Utilice el comando
ipa idrange-find
para mostrar tanto el ID base como el tamaño del rango de ID del nuevo dominio. Por ejemplo, el siguiente comando muestra los valores del dominioad.example.com
:[root@idm_client]#
ipa idrange-find --name="AD.EXAMPLE.COM_id_range" --raw
--------------- 1 range matched --------------- cn: AD.EXAMPLE.COM_id_range ipabaseid: 1918400000 ipaidrangesize: 200000 ipabaserid: 0 ipanttrusteddomainsid: S-1-5-21-968346183-862388825-1738313271 iparangetype: ipa-ad-trust ---------------------------- Number of entries returned 1 ----------------------------Los valores de los atributos
ipabaseid
yipaidrangesize
son necesarios en los siguientes pasos.Para calcular el ID utilizable más alto, utilice la siguiente fórmula:
rango_máximo = ipabaseid ipaidrangesize - 1
Con los valores del paso anterior, el mayor ID utilizable para el dominio
ad.example.com
es1918599999
(1918400000 200000 - 1).Edite el archivo
/etc/samba/smb.conf
y añada la configuración de la asignación de ID para el dominio en la sección[global]
:idmap config AD : range = 1918400000 - 1918599999 idmap config AD : backend = sss
Especifique el valor del atributo
ipabaseid
como el más bajo y el valor calculado del paso anterior como el valor más alto del rango.Reinicie los servicios
smb
ywinbind
:[root@idm_client]#
systemctl restart smb winbind
Pasos de verificación
Autentifíquese como usuario del nuevo dominio y obtenga un ticket Kerberos:
$
kinit example_user
Enumerar los recursos compartidos en el servidor Samba utilizando la autenticación Kerberos:
$
smbclient -L idm_client.idm.example.com -k
lp_load_ex: changing to config backend registry Sharename Type Comment --------- ---- ------- example Disk IPC$ IPC IPC Service (Samba 4.12.3) ...