3.4.4. Usando o mapeamento de identificação do anúncio back end
Esta seção descreve como configurar um membro do Samba AD para usar o back end de mapeamento de ID ad
.
O ad
ID mapping back end implementa uma API somente leitura para ler as informações de conta e grupo do AD. Isto proporciona os seguintes benefícios:
- Todas as configurações de usuário e grupo são armazenadas centralmente em AD.
- As identificações de usuários e grupos são consistentes em todos os servidores Samba que utilizam este back end.
- As IDs não são armazenadas em um banco de dados local que pode corromper e, portanto, a propriedade dos arquivos não pode ser perdida.
O ad
ID mapping back end não suporta domínios Active Directory com trusts unidirecionais. Se você configurar um membro do domínio em um Active Directory com trusts unidirecionais, use ao invés de um dos seguintes back ends de mapeamento de ID: tdb
, rid
, ou autorid
.
A parte traseira do anúncio lê os seguintes atributos do AD:
Nome do atributo AD | Tipo de objeto | Mapeado para |
---|---|---|
| Usuário e grupo | Nome do usuário ou do grupo, dependendo do objeto |
| Usuário | ID do usuário (UID) |
| Grupo | ID do grupo (GID) |
| Usuário | Caminho para a casca do usuário |
| Usuário | Caminho para o diretório pessoal do usuário |
| Usuário | ID do grupo primário |
[a]
O Samba só lê este atributo se você definir idmap config DOMAIN:unix_nss_info = yes .
[b]
O Samba só lê este atributo se você definir idmap config DOMAIN:unix_primary_group = yes .
|
Pré-requisitos
-
Tanto os usuários quanto os grupos devem ter IDs únicos definidos no AD, e as IDs devem estar dentro do intervalo configurado no arquivo
/etc/samba/smb.conf
. Objetos cujos IDs estão fora do intervalo não estarão disponíveis no servidor Samba. - Os usuários e grupos devem ter todos os atributos necessários definidos no AD. Se faltarem atributos requeridos, o usuário ou grupo não estará disponível no servidor Samba. Os atributos requeridos dependem de sua configuração. Pré-requisitos
- Você instalou o Samba.
-
A configuração do Samba, exceto o mapeamento de ID, existe no arquivo
/etc/samba/smb.conf
.
Procedimento
Edite a seção
[global]
no arquivo/etc/samba/smb.conf
:Adicione uma configuração de mapeamento de identificação para o domínio padrão (
*
) se ele não existir. Por exemplo:idmap config * : backend = tdb idmap config * : range = 10000-999999
Habilite o back end do mapeamento de ID
ad
para o domínio AD:idmap config DOMAIN: backend = ad
Defina a gama de IDs que é atribuída aos usuários e grupos no domínio AD. Por exemplo:
idmap config DOMAIN: intervalo = 2000000-2999999
ImportanteA faixa não deve se sobrepor a nenhuma outra configuração de domínio neste servidor. Além disso, o intervalo deve ser definido suficientemente grande para incluir todas as IDs atribuídas no futuro. Para mais detalhes, veja Seção 3.4.1, “Planejamento de gamas de identificação Samba”.
Defina que o Samba usa o esquema RFC 2307 ao ler os atributos do AD:
idmap config DOMAIN: schema_mode = rfc2307
Para permitir que o Samba leia a shell de login e o caminho para o diretório home do usuário a partir do atributo AD correspondente, definido:
idmap config DOMAIN: unix_nss_info = sim
Alternativamente, você pode definir um caminho uniforme de diretório home e shell de login em todo o domínio que é aplicado a todos os usuários. Por exemplo:
template shell = /bin/bash template homedir = /home/%U
Por padrão, Samba usa o atributo
primaryGroupID
de um objeto de usuário como o grupo primário do usuário no Linux. Alternativamente, você pode configurar o Samba para usar o valor definido no atributogidNumber
:idmap config DOMAIN: unix_primary_group = sim
Verifique o arquivo
/etc/samba/smb.conf
:#
testparm
Recarregar a configuração do Samba:
#
smbcontrol all reload-config
Recursos adicionais
- Seção 3.4.2, “The * default domain”
-
Para mais detalhes sobre os parâmetros utilizados no procedimento, consulte as páginas de manual
smb.conf(5)
eidmap_ad(8)
. -
Para obter detalhes sobre substituição de variáveis, consulte a seção
VARIABLE SUBSTITUTIONS
na página de manualsmb.conf(5)
.