Pesquisar

3.6.4. Adicionar manualmente uma configuração de mapeamento de ID se a IdM confia em um novo domínio

download PDF

O Samba requer uma configuração de mapeamento de identificação para cada domínio a partir do qual os usuários acessam recursos. Em um servidor Samba existente rodando em um cliente IdM, você deve adicionar manualmente uma configuração de mapeamento de ID após o administrador ter adicionado uma nova confiança a um domínio Active Directory (AD).

Pré-requisitos

  • Você configurou o Samba em um cliente da IdM. Posteriormente, uma nova confiança foi adicionada à IdM.
  • Os tipos de criptografia DES e RC4 para Kerberos devem ser desativados no domínio AD confiável. Por razões de segurança, a RHEL 8 não suporta esses tipos fracos de criptografia.

Procedimento

  1. Autenticar usando o keytab do host:

    [root@idm_client]# kinit -k
  2. Use o comando ipa idrange-find para exibir tanto o ID base quanto o tamanho da faixa de ID do novo domínio. Por exemplo, o comando a seguir exibe os valores para o domínio ad.example.com:

    [root@idm_client]# ipa idrange-find --name="AD.EXAMPLE.COM_id_range" --raw
    ---------------
    1 range matched
    ---------------
      cn: AD.EXAMPLE.COM_id_range
      ipabaseid: 1918400000
      ipaidrangesize: 200000
      ipabaserid: 0
      ipanttrusteddomainsid: S-1-5-21-968346183-862388825-1738313271
      iparangetype: ipa-ad-trust
    ----------------------------
    Number of entries returned 1
    ----------------------------

    Você precisa dos valores dos atributos ipabaseid e ipaidrangesize nos próximos passos.

  3. Para calcular a maior identificação utilizável, use a seguinte fórmula:

    alcance_máximo = ipabaseid ipaidrangesize - 1

    Com os valores da etapa anterior, o ID mais alto utilizável para o domínio ad.example.com é 1918599999 (1918400000 200000 - 1).

  4. Edite o arquivo /etc/samba/smb.conf, e adicione a configuração do mapeamento de identificação do domínio à seção [global]:

    idmap config AD : range = 1918400000 - 1918599999
    idmap config AD : backend = sss

    Especificar o valor do atributo ipabaseid como o valor mais baixo e o valor computado da etapa anterior como o valor mais alto do intervalo.

  5. Reinicie os serviços smb e winbind:

    [root@idm_client]# systemctl restart smb winbind

Etapas de verificação

  1. Autenticar como usuário do novo domínio e obter um ticket de concessão de Kerberos:

    $ kinit example_user
  2. Liste as ações no servidor Samba usando autenticação Kerberos:

    $ smbclient -L idm_client.idm.example.com -k
    lp_load_ex: changing to config backend registry
    
        Sharename       Type      Comment
        ---------       ----      -------
        example         Disk
        IPC$            IPC       IPC Service (Samba 4.12.3)
    ...
Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.