2.4. Ajout manuel d'une configuration de mappage d'ID si IdM fait confiance à un nouveau domaine
Samba nécessite une configuration de mappage d'ID pour chaque domaine à partir duquel les utilisateurs accèdent aux ressources. Sur un serveur Samba existant fonctionnant sur un client IdM, vous devez ajouter manuellement une configuration de mappage d'identifiants après que l'administrateur a ajouté une nouvelle confiance à un domaine Active Directory (AD).
Conditions préalables
- Vous avez configuré Samba sur un client IdM. Par la suite, une nouvelle confiance a été ajoutée à IdM.
- Les types de chiffrement DES et RC4 pour Kerberos doivent être désactivés dans le domaine AD de confiance. Pour des raisons de sécurité, RHEL 9 ne prend pas en charge ces types de chiffrement faibles.
Procédure
S'authentifier à l'aide de la base de données de l'hôte :
[root@idm_client]# kinit -k
Utilisez la commande
ipa idrange-find
pour afficher l'ID de base et la taille de la plage d'ID du nouveau domaine. Par exemple, la commande suivante affiche les valeurs du domainead.example.com
:[root@idm_client]# ipa idrange-find --name="AD.EXAMPLE.COM_id_range" --raw --------------- 1 range matched --------------- cn: AD.EXAMPLE.COM_id_range ipabaseid: 1918400000 ipaidrangesize: 200000 ipabaserid: 0 ipanttrusteddomainsid: S-1-5-21-968346183-862388825-1738313271 iparangetype: ipa-ad-trust ---------------------------- Number of entries returned 1 ----------------------------
Vous aurez besoin des valeurs des attributs
ipabaseid
etipaidrangesize
dans les étapes suivantes.Pour calculer l'ID utilisable le plus élevé, utilisez la formule suivante :
maximum_range = ipabaseid ipaidrangesize - 1
Avec les valeurs de l'étape précédente, l'ID utilisable le plus élevé pour le domaine
ad.example.com
est1918599999
(1918400000 200000 - 1).Modifiez le fichier
/etc/samba/smb.conf
et ajoutez la configuration du mappage d'ID pour le domaine à la section[global]
:idmap config AD : range = 1918400000 - 1918599999 idmap config AD : backend = sss
Spécifiez la valeur de l'attribut
ipabaseid
comme étant la plus basse et la valeur calculée à l'étape précédente comme étant la plus haute de la plage.Redémarrez les services
smb
etwinbind
:[root@idm_client]# systemctl restart smb winbind
Verification steps
Dressez la liste des partages sur le serveur Samba utilisant l'authentification Kerberos :
$
smbclient -L idm_client.idm.example.com -U user_name --use-kerberos=required
lp_load_ex: changing to config backend registry Sharename Type Comment --------- ---- ------- example Disk IPC$ IPC IPC Service (Samba 4.15.2) ...