Использование Samba в качестве члена домена AD с согласованными автоматически сгенерированными атрибутами POSIX для всех членов Linux
Я пытаюсь присоединить несколько устройств Linux к домену Windows Active Directory с использованием как входа в домен, так и функции совместного использования файлов Samba. Я пытаюсь не добавлять здесь атрибуты POSIX для пользователей и групп AD вручную. Хотя это кажется достаточно простым для работы с бэкэндом autorid для samba, на основе документации Redhat Файловые серверы и серверы печати - недостатки autorid
Autorid создает несовместимые атрибуты uid и gid по сравнению с другими устройствами Linux. Поскольку я хочу, чтобы разрешения на каталоги и файлы, принадлежащие пользователям и группам домена, были согласованными для всех участников, (от клиента к серверу и от клиента к клиенту) несовместимые сгенерированные атрибуты неприемлемы для моей среды.
По-видимому, автоматическое сопоставление идентификаторов sssd ( ldap_id_mapping = true в sssd.conf) использует алгоритм, который автоматически генерирует согласованные атрибуты uid и gid для пользователей домена на нескольких хостах Linux. Я бы использовал это как бэкэнд для samba - однако, как Redhat заявляет в своей документации, они не рекомендуют это, поскольку sssd не может выполнять поиск NetBIOS или NTLM. Использование общих ресурсов SMB с SSSD и Winbind
Итак, для поиска идеальной конфигурации, которая позволяет согласованное автоматическое создание атрибутов uid и gid для нескольких членов домена Linux, но при этом обеспечивает полную функциональность самбы домена, какие есть варианты?
Используйте бэкенд «авто-удаление», если у вас несколько доменов, и бэкэнд «избавления», если у вас только один. Если вы используете одни и те же строки «[global]» для каждого члена домена Unix, вы получите одинаковые идентификаторы для каждого. Используйте строки 'idmap config' примерно так для бэкэнда 'rid':
idmap config * : backend = tdb
idmap config * : range = 3000-7999
idmap config SAMDOM : backend = rid
idmap config SAMDOM : range = 10000-999999
Где 'SAMDOM' - это имя вашей рабочей группы.
При этом я могу гарантировать (например), что группа «Пользователи домена» всегда будет иметь идентификатор группы «10513» на всех компьютерах.
Если вы добавите «winbind use default domain = yes» в «[global]», ваши пользователи смогут входить в систему с «username» вместо «SAMDOM\username» (примечание: вы не можете использовать это с « бэкэнд autorid)