「Idmap config ad」の版間の差分

前書き

ad IDマッピングバックエンドは、Active Directory（AD）からアカウントおよびグループ情報を読み取るための読み取り専用API を実装します。 バックエンドはRFC 2307に基づいています。 詳細については、https://www.rfc-editor.org/rfc/rfc2307.txtを参照してください。

代替案については、アイデンティティマッピングバックエンドを参照してください。

{{#invoke:Message box|imbox}}

adバックエンドのメリットとデメリット

利点：

• Active Directory（AD）内のIDの中央管理。
• adバックエンドを使用するすべてのSambaクライアントとサーバ上の一貫したID。
• 必要な属性は一度作成するだけで済みます。これはユーザーまたはグループの作成時に行うことができます
• IDは、破損する可能性のあるローカルデータベースに格納されません。したがって、ファイルの所有権は失われません。

欠点：

• Windowsの「Active Directoryユーザーとコンピュータ」（ADUC）プログラムが使用されていない場合、重複を避けるためにID値を手動で追跡する必要があります。
• RFC2307属性の値は手動で設定する必要があります。

Winbind NSS infoモード固有の機能：

• rfc2307：ユーザの個々のログインシェルとホームディレクトリパス。
• template：ログインシェルとホームディレクトリのベースパスはすべてのユーザで同じです。

ID範囲の計画

smb.confファイルでadバックエンドを設定する前に、ドメインごとに一意のID範囲を選択する必要があります。 範 囲は、Sambaがドメイン内で作成されたすべての将来のユーザとグループのIDを割り当てることができるように、連続していなければなりません 。

{{#invoke:Message box|imbox}}

前提条件

SambaがActive Directory（AD）からユーザ情報とグループ情報を取得できるようにするには：

• ユーザは少なくとも uidNumberを持ち、<U+200B><U+200B>gidNumber属性をグループ化していなければなりません。 rfc2307 winbind NSS infoモードを使うとき、ユーザアカウントには loginShell、unixHomeDirectoryと primaryGroupIDセットもなければなりません。
• コンピュータ、または： 'machine network accounts'は、ドメインメンバ上の共有にアクセスするようにuidNumber属性を設定する必要があります。
• ユーザー、コンピュータ、およびグループIDは、このドメインの smb.confで設定された範囲内でなければなりません。
• Active Directory Users and Groups（ADUC）ユーティリティを使用してUNIX属性を割り当てる場合は、NIS拡張機能をインストールする必要があります。詳細は、「svradmin/samba4/transdoc/setting_up_rfc2307_in_ad」を参照してください。
• ユーザーIDとコンピューターIDはすべてのユーザーとコンピューターで一意でなければならず、グループIDはすべてのグループで一意である必要があります。 IDの重複または以前に削除されたアカウントのIDの再利用により、新しいユーザー、コンピュータ、またはグループは、他のまたは以前のID所有者によって作成されたファイルにアクセスできます。 ADUCユーティリティを使用すると、ユーザーおよびグループIDはAD内で自動的に追跡され、新しいユーザーまたはグループの作成時に増分されます。
• コンピュータID（ uidNumber属性）はAD内で自動的には追跡されないので、コンピュータがドメインに参加しているときは、ADUC Attribute Editorタブで手動で設定する必要があります。

RFC2307とtemplateモードのオプション

Sambaバージョン4.6.0より前：