78.4. Adicionar manualmente uma configuração de mapeamento de ID se a IdM confia em um novo domínio
O Samba requer uma configuração de mapeamento de identificação para cada domínio a partir do qual os usuários acessam recursos. Em um servidor Samba existente rodando em um cliente IdM, você deve adicionar manualmente uma configuração de mapeamento de ID após o administrador ter adicionado uma nova confiança a um domínio Active Directory (AD).
Pré-requisitos
- Você configurou o Samba em um cliente da IdM. Posteriormente, uma nova confiança foi adicionada à IdM.
- Os tipos de criptografia DES e RC4 para Kerberos devem ser desativados no domínio AD confiável. Por razões de segurança, a RHEL 8 não suporta esses tipos fracos de criptografia.
Procedimento
Autenticar usando o keytab do host:
[root@idm_client]#
kinit -k
Use o comando
ipa idrange-find
para exibir tanto o ID base quanto o tamanho da faixa de ID do novo domínio. Por exemplo, o comando a seguir exibe os valores para o domínioad.example.com
:[root@idm_client]#
ipa idrange-find --name="AD.EXAMPLE.COM_id_range" --raw
--------------- 1 range matched --------------- cn: AD.EXAMPLE.COM_id_range ipabaseid: 1918400000 ipaidrangesize: 200000 ipabaserid: 0 ipanttrusteddomainsid: S-1-5-21-968346183-862388825-1738313271 iparangetype: ipa-ad-trust ---------------------------- Number of entries returned 1 ----------------------------Você precisa dos valores dos atributos
ipabaseid
eipaidrangesize
nos próximos passos.Para calcular a maior identificação utilizável, use a seguinte fórmula:
alcance_máximo = ipabaseid ipaidrangesize - 1
Com os valores da etapa anterior, o ID mais alto utilizável para o domínio
ad.example.com
é1918599999
(1918400000 200000 - 1).Edite o arquivo
/etc/samba/smb.conf
, e adicione a configuração do mapeamento de identificação do domínio à seção[global]
:idmap config AD : range = 1918400000 - 1918599999 idmap config AD : backend = sss
Especificar o valor do atributo
ipabaseid
como o valor mais baixo e o valor computado da etapa anterior como o valor mais alto do intervalo.Reinicie os serviços
smb
ewinbind
:[root@idm_client]#
systemctl restart smb winbind
Etapas de verificação
Autenticar como usuário do novo domínio e obter um ticket de concessão de Kerberos:
$
kinit example_user
Liste as ações no servidor Samba usando autenticação Kerberos:
$
smbclient -L idm_client.idm.example.com -k
lp_load_ex: changing to config backend registry Sharename Type Comment --------- ---- ------- example Disk IPC$ IPC IPC Service (Samba 4.12.3) ...