3.4.4. Utilización del back end de mapeo de ID de anuncios
Esta sección describe cómo configurar un miembro de Samba AD para utilizar el back end de mapeo de IDs ad
.
El back end de mapeo de ID de ad
implementa una API de sólo lectura para leer la información de cuentas y grupos de AD. Esto proporciona los siguientes beneficios:
- Todas las configuraciones de usuarios y grupos se almacenan de forma centralizada en AD.
- Los ID de usuario y grupo son consistentes en todos los servidores Samba que utilizan este back end.
- Las identificaciones no se almacenan en una base de datos local que pueda corromperse, y por lo tanto no se pueden perder las titularidades de los archivos.
El back-end de asignación de ID ad
no es compatible con los dominios de Active Directory con confianzas unidireccionales. Si configura un miembro del dominio en un Directorio Activo con confianzas unidireccionales, utilice en su lugar uno de los siguientes back-ends de asignación de ID: tdb
, rid
, o autorid
.
El back end del anuncio lee los siguientes atributos del AD:
Nombre del atributo AD | Tipo de objeto | Asignado a |
---|---|---|
| Usuario y grupo | Nombre de usuario o de grupo, según el objeto |
| Usuario | ID de usuario (UID) |
| Grupo | ID de grupo (GID) |
| Usuario | Ruta de acceso al shell del usuario |
| Usuario | Ruta de acceso al directorio principal del usuario |
| Usuario | ID del grupo primario |
[a]
Samba sólo lee este atributo si se establece idmap config DOMAIN:unix_nss_info = yes .
[b]
Samba sólo lee este atributo si se establece idmap config DOMAIN:unix_primary_group = yes .
|
Requisitos previos
-
Tanto los usuarios como los grupos deben tener IDs únicos establecidos en AD, y los IDs deben estar dentro del rango configurado en el archivo
/etc/samba/smb.conf
. Los objetos cuyos IDs estén fuera del rango no estarán disponibles en el servidor Samba. - Los usuarios y grupos deben tener todos los atributos requeridos en AD. Si faltan los atributos requeridos, el usuario o grupo no estará disponible en el servidor Samba. Los atributos requeridos dependen de su configuración. Requisitos previos
- Has instalado Samba.
-
La configuración de Samba, excepto la asignación de ID, existe en el archivo
/etc/samba/smb.conf
.
Procedimiento
Edite la sección
[global]
en el archivo/etc/samba/smb.conf
:Añada una configuración de asignación de ID para el dominio por defecto (
*
) si no existe. Por ejemplo:idmap config * : backend = tdb idmap config * : range = 10000-999999
Habilite el back end de asignación de ID de
ad
para el dominio de AD:idmap config DOMAIN: backend = ad
Establezca el rango de IDs que se asigna a los usuarios y grupos en el dominio AD. Por ejemplo:
idmap config DOMAIN: rango = 2000000-2999999
ImportanteEl rango no debe solaparse con ninguna otra configuración de dominio en este servidor. Además, el rango debe ser lo suficientemente grande como para incluir todos los IDs asignados en el futuro. Para más detalles, consulte Sección 3.4.1, “Planificación de rangos de ID de Samba”.
Establezca que Samba utilice el esquema RFC 2307 cuando lea los atributos de AD:
idmap config DOMAIN: schema_mode = rfc2307
Para permitir que Samba lea el shell de inicio de sesión y la ruta de acceso al directorio personal de los usuarios desde el atributo AD correspondiente, establezca:
idmap config DOMAIN: unix_nss_info = yes
Como alternativa, puede establecer una ruta de directorio principal y un shell de inicio de sesión uniformes para todo el dominio que se apliquen a todos los usuarios. Por ejemplo:
template shell = /bin/bash template homedir = /home/%U
Por defecto, Samba utiliza el atributo
primaryGroupID
de un objeto de usuario como grupo principal del usuario en Linux. Como alternativa, puede configurar Samba para que utilice el valor establecido en el atributogidNumber
en su lugar:idmap config DOMAIN: unix_primary_group = yes
Verifique el archivo
/etc/samba/smb.conf
:#
testparm
Recarga la configuración de Samba:
#
smbcontrol all reload-config
Recursos adicionales
- Sección 3.4.2, “The * default domain”
-
Para más detalles sobre los parámetros utilizados en el procedimiento, consulte las páginas de manual
smb.conf(5)
yidmap_ad(8)
. -
Para más detalles sobre la sustitución de variables, consulte la sección
VARIABLE SUBSTITUTIONS
en la página de manualsmb.conf(5)
.