Red Hat Summit Red Hat SummitSuporteConsoleDesenvolvedoresComeçar um testeContato

3.6.4. Adicionar manualmente uma configuração de mapeamento de ID se a IdM confia em um novo domínio

O Samba requer uma configuração de mapeamento de identificação para cada domínio a partir do qual os usuários acessam recursos. Em um servidor Samba existente rodando em um cliente IdM, você deve adicionar manualmente uma configuração de mapeamento de ID após o administrador ter adicionado uma nova confiança a um domínio Active Directory (AD).

Pré-requisitos

  • Você configurou o Samba em um cliente da IdM. Posteriormente, uma nova confiança foi adicionada à IdM.
  • Os tipos de criptografia DES e RC4 para Kerberos devem ser desativados no domínio AD confiável. Por razões de segurança, a RHEL 8 não suporta esses tipos fracos de criptografia.

Procedimento

  1. Autenticar usando o keytab do host: 

    [root@idm_client]# kinit -k
    Copy to Clipboard Toggle word wrap

  2. Use o comando ipa idrange-find para exibir tanto o ID base quanto o tamanho da faixa de ID do novo domínio. Por exemplo, o comando a seguir exibe os valores para o domínio ad.example.com: 

    [root@idm_client]# ipa idrange-find --name="AD.EXAMPLE.COM_id_range" --raw
---------------
1 range matched
---------------
  cn: AD.EXAMPLE.COM_id_range
  ipabaseid: 1918400000
  ipaidrangesize: 200000
  ipabaserid: 0
  ipanttrusteddomainsid: S-1-5-21-968346183-862388825-1738313271
  iparangetype: ipa-ad-trust
----------------------------
Number of entries returned 1
----------------------------
    Copy to Clipboard Toggle word wrap

    Você precisa dos valores dos atributos ipabaseid e ipaidrangesize nos próximos passos.

  3. Para calcular a maior identificação utilizável, use a seguinte fórmula: 

    alcance_máximo = ipabaseid ipaidrangesize - 1
    Copy to Clipboard Toggle word wrap

    Com os valores da etapa anterior, o ID mais alto utilizável para o domínio ad.example.com é 1918599999 (1918400000 200000 - 1).

  4. Edite o arquivo /etc/samba/smb.conf, e adicione a configuração do mapeamento de identificação do domínio à seção [global]: 

    idmap config AD : range = 1918400000 - 1918599999
idmap config AD : backend = sss
    Copy to Clipboard Toggle word wrap

    Especificar o valor do atributo ipabaseid como o valor mais baixo e o valor computado da etapa anterior como o valor mais alto do intervalo.

  5. Reinicie os serviços smb e winbind: 

    [root@idm_client]# systemctl restart smb winbind
    Copy to Clipboard Toggle word wrap

Etapas de verificação

  1. Autenticar como usuário do novo domínio e obter um ticket de concessão de Kerberos: 

    $ kinit example_user
    Copy to Clipboard Toggle word wrap

  2. Liste as ações no servidor Samba usando autenticação Kerberos: 

    $ smbclient -L idm_client.idm.example.com -k
lp_load_ex: changing to config backend registry

    Sharename       Type      Comment
    ---------       ----      -------
    example         Disk
    IPC$            IPC       IPC Service (Samba 4.12.3)
...
    Copy to Clipboard Toggle word wrap
Voltar ao topo
Red Hat logoGithubredditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar. Explore nossas atualizações recentes.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja o Blog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

Theme

© 2025 Red Hat