Red Hat Training

A Red Hat training course is available for RHEL 8

3.6.4. Añadir manualmente una configuración de asignación de ID si IdM confía en un nuevo dominio

Samba requiere una configuración de asignación de ID para cada dominio desde el que los usuarios acceden a los recursos. En un servidor Samba existente que se ejecuta en un cliente IdM, debe añadir manualmente una configuración de asignación de ID después de que el administrador haya añadido una nueva confianza a un dominio de Active Directory (AD).

Requisitos previos

  • Has configurado Samba en un cliente IdM. Después, se añadió una nueva confianza a IdM.
  • Los tipos de cifrado DES y RC4 para Kerberos deben estar desactivados en el dominio AD de confianza. Por razones de seguridad, RHEL 8 no admite estos tipos de cifrado débil.

Procedimiento

  1. Autenticar usando el keytab del host:

    [root@idm_client]# kinit -k
  2. Utilice el comando ipa idrange-find para mostrar tanto el ID base como el tamaño del rango de ID del nuevo dominio. Por ejemplo, el siguiente comando muestra los valores del dominio ad.example.com:

    [root@idm_client]# ipa idrange-find --name="AD.EXAMPLE.COM_id_range" --raw
    ---------------
    1 range matched
    ---------------
      cn: AD.EXAMPLE.COM_id_range
      ipabaseid: 1918400000
      ipaidrangesize: 200000
      ipabaserid: 0
      ipanttrusteddomainsid: S-1-5-21-968346183-862388825-1738313271
      iparangetype: ipa-ad-trust
    ----------------------------
    Number of entries returned 1
    ----------------------------

    Los valores de los atributos ipabaseid y ipaidrangesize son necesarios en los siguientes pasos.

  3. Para calcular el ID utilizable más alto, utilice la siguiente fórmula:

    rango_máximo = ipabaseid ipaidrangesize - 1

    Con los valores del paso anterior, el mayor ID utilizable para el dominio ad.example.com es 1918599999 (1918400000 200000 - 1).

  4. Edite el archivo /etc/samba/smb.conf y añada la configuración de la asignación de ID para el dominio en la sección [global]:

    idmap config AD : range = 1918400000 - 1918599999
    idmap config AD : backend = sss

    Especifique el valor del atributo ipabaseid como el más bajo y el valor calculado del paso anterior como el valor más alto del rango.

  5. Reinicie los servicios smb y winbind:

    [root@idm_client]# systemctl restart smb winbind

Pasos de verificación

  1. Autentifíquese como usuario del nuevo dominio y obtenga un ticket Kerberos:

    $ kinit example_user
  2. Enumerar los recursos compartidos en el servidor Samba utilizando la autenticación Kerberos:

    $ smbclient -L idm_client.idm.example.com -k
    lp_load_ex: changing to config backend registry
    
        Sharename       Type      Comment
        ---------       ----      -------
        example         Disk
        IPC$            IPC       IPC Service (Samba 4.12.3)
    ...