3.4.5. Usando o mapeamento de identificação do rid back end
Esta seção descreve como configurar um membro do domínio Samba para usar o back end do mapeamento de ID rid
.
O Samba pode usar o identificador relativo (RID) de um SID do Windows para gerar um ID no Red Hat Enterprise Linux.
O RID é a última parte de um SID. Por exemplo, se o SID de um usuário é S-1-5-21-5421822485-1151247151-421485315-30014
, então 30014
é o RID correspondente.
O back end de mapeamento de ID rid
implementa uma API somente leitura para calcular informações de contas e grupos com base em um esquema de mapeamento algorítmico para domínios AD e NT4. Quando você configura o back end, você deve definir o RID mais baixo e o mais alto no idmap config DOMAIN : range
parâmetro. O Samba não mapeará usuários ou grupos com um RID menor ou maior do que o definido neste parâmetro.
Como back end só de leitura, rid
não pode atribuir novas identificações, como para os grupos BUILTIN
. Portanto, não utilize este back end para o domínio padrão *
.
Benefícios de usar a parte traseira do carro
- Todos os usuários e grupos de domínio que têm um RID dentro do intervalo configurado estão automaticamente disponíveis no membro do domínio.
- Não é necessário atribuir manualmente IDs, diretórios residenciais e shells de login.
Problemas de usar a parte traseira do carro
- Todos os usuários de domínio recebem a mesma shell de login e diretório pessoal atribuídos. Entretanto, você pode usar variáveis.
-
Os IDs de usuários e grupos só são os mesmos entre os membros do domínio Samba se todos usarem o back end
rid
com as mesmas configurações de faixa de ID. - Você não pode excluir que usuários individuais ou grupos estejam disponíveis no membro do domínio. Somente usuários e grupos fora da faixa configurada são excluídos.
-
Com base nas fórmulas que o serviço
winbindd
usa para calcular as IDs, podem ocorrer IDs duplicadas em ambientes de vários domínios se objetos em domínios diferentes tiverem o mesmo RID.
Pré-requisitos
- Você instalou o Samba.
-
A configuração do Samba, exceto o mapeamento de ID, existe no arquivo
/etc/samba/smb.conf
.
Procedimento
Edite a seção
[global]
no arquivo/etc/samba/smb.conf
:Adicione uma configuração de mapeamento de identificação para o domínio padrão (
*
) se ele não existir. Por exemplo:idmap config * : backend = tdb idmap config * : range = 10000-999999
Habilite o back end do mapeamento de ID
rid
para o domínio:idmap config DOMAIN: backend = rid
Defina uma faixa que seja suficientemente grande para incluir todos os RIDs que serão designados no futuro. Por exemplo:
idmap config DOMAIN: intervalo = 2000000-2999999
O Samba ignora usuários e grupos cujos RIDs neste domínio não estão dentro do alcance.
ImportanteA faixa não deve se sobrepor a nenhuma outra configuração de domínio neste servidor. Para mais detalhes, veja Seção 3.4.1, “Planejamento de gamas de identificação Samba”.
Defina um caminho de shell e diretório home que será atribuído a todos os usuários mapeados. Por exemplo:
template shell = /bin/bash template homedir = /home/%U
Verifique o arquivo
/etc/samba/smb.conf
:#
testparm
Recarregar a configuração do Samba:
#
smbcontrol all reload-config
Recursos adicionais
- Seção 3.4.2, “The * default domain”
-
Para obter detalhes sobre substituição de variáveis, consulte a seção
VARIABLE SUBSTITUTIONS
na página de manualsmb.conf(5)
. -
Para detalhes, como Samba calcula a identificação local a partir de um RID, consulte a página de manual
idmap_rid(8)
.