Idmap config ad
前書き
ad IDマッピングバックエンドは、Active Directory(AD)からアカウントおよびグループ情報を読み取るための読み取り専用API
を実装します。 バックエンドはRFC 2307に基づいています。 詳細については、https://www.rfc-editor.org/rfc/rfc2307.txtを参照してください。
代替案については、アイデンティティマッピングバックエンドを参照してください。
{{#invoke:Message box|imbox}}
adバックエンドのメリットとデメリット
利点:
- Active Directory(AD)内のIDの中央管理。
adバックエンドを使用するすべてのSambaクライアントとサーバ上の一貫したID。- 必要な属性は一度作成するだけで済みます。これはユーザーまたはグループの作成時に行うことができます
- IDは、破損する可能性のあるローカルデータベースに格納されません。したがって、ファイルの所有権は失われません。
欠点:
- Windowsの「Active Directoryユーザーとコンピュータ」(ADUC)プログラムが使用されていない場合、重複を避けるためにID値を手動で追跡
する必要があります。
- RFC2307属性の値は手動で設定する必要があります。
Winbind NSS infoモード固有の機能:
rfc2307:ユーザの個々のログインシェルとホームディレクトリパス。template:ログインシェルとホームディレクトリのベースパスはすべてのユーザで同じです。
ID範囲の計画
smb.confファイルでadバックエンドを設定する前に、ドメインごとに一意のID範囲を選択する必要があります。 範
囲は、Sambaがドメイン内で作成されたすべての将来のユーザとグループのIDを割り当てることができるように、連続していなければなりません
。
<WRAP important> smb.confファイルに設定されている*デフォルトドメインと他のすべてのドメインのID範囲は重複してはいけません。 </WRAP>
前提条件
SambaがActive Directory(AD)からユーザ情報とグループ情報を取得できるようにするには:
- ユーザは少なくとも
uidNumberを持ち、<U+200B><U+200B>gidNumber属性をグループ化していなければなりません
。 rfc2307 winbind NSS infoモードを使うとき、ユーザアカウントには loginShell、unixHomeDirectoryと primaryGroupIDセットもなければなりません。
- コンピュータ、または: 'machine network accounts'は、ドメインメンバ上の共有にアクセスするように
uidNumber属性を設定する必要があります。 - ユーザー、コンピュータ、およびグループIDは、このドメインの
smb.confで設定された範囲内でなければなりません。 Active Directory Users and Groups(ADUC)ユーティリティを使用してUNIX属性を割り当てる場合は、NIS拡張機能をインスト
ールする必要があります。詳細は、「svradmin/samba4/transdoc/setting_up_rfc2307_in_ad」を参照してください。
- ユーザーIDとコンピューターIDはすべてのユーザーとコンピューターで一意でなければならず、グループIDはすべてのグループで一意である必要があります。 IDの重複または以前に削除されたアカウントのIDの再利用により、新しいユーザー、コンピュータ、またはグループは、他のま
たは以前のID所有者によって作成されたファイルにアクセスできます。 ADUCユーティリティを使用すると、ユーザーおよびグループIDはAD内で 自動的に追跡され、新しいユーザーまたはグループの作成時に増分されます。
- コンピュータID(
uidNumber属性)はAD内で自動的には追跡されないので、コンピュータがドメインに参加しているときは、ADUC Attribute Editorタブで手動で設定する必要があります。