Red Hat Training

A Red Hat training course is available for RHEL 8

3.4.4. Utilización del back end de mapeo de ID de anuncios

Esta sección describe cómo configurar un miembro de Samba AD para utilizar el back end de mapeo de IDs ad.

El back end de mapeo de ID de ad implementa una API de sólo lectura para leer la información de cuentas y grupos de AD. Esto proporciona los siguientes beneficios:

  • Todas las configuraciones de usuarios y grupos se almacenan de forma centralizada en AD.
  • Los ID de usuario y grupo son consistentes en todos los servidores Samba que utilizan este back end.
  • Las identificaciones no se almacenan en una base de datos local que pueda corromperse, y por lo tanto no se pueden perder las titularidades de los archivos.
Nota

El back-end de asignación de ID ad no es compatible con los dominios de Active Directory con confianzas unidireccionales. Si configura un miembro del dominio en un Directorio Activo con confianzas unidireccionales, utilice en su lugar uno de los siguientes back-ends de asignación de ID: tdb, rid, o autorid.

El back end del anuncio lee los siguientes atributos del AD:

Nombre del atributo ADTipo de objetoAsignado a

sAMAccountName

Usuario y grupo

Nombre de usuario o de grupo, según el objeto

uidNumber

Usuario

ID de usuario (UID)

gidNumber

Grupo

ID de grupo (GID)

loginShell [a]

Usuario

Ruta de acceso al shell del usuario

unixHomeDirectory [a]

Usuario

Ruta de acceso al directorio principal del usuario

primaryGroupID [b]

Usuario

ID del grupo primario

[a] Samba sólo lee este atributo si se establece idmap config DOMAIN:unix_nss_info = yes.
[b] Samba sólo lee este atributo si se establece idmap config DOMAIN:unix_primary_group = yes.

Requisitos previos

  • Tanto los usuarios como los grupos deben tener IDs únicos establecidos en AD, y los IDs deben estar dentro del rango configurado en el archivo /etc/samba/smb.conf. Los objetos cuyos IDs estén fuera del rango no estarán disponibles en el servidor Samba.
  • Los usuarios y grupos deben tener todos los atributos requeridos en AD. Si faltan los atributos requeridos, el usuario o grupo no estará disponible en el servidor Samba. Los atributos requeridos dependen de su configuración. Requisitos previos
  • Has instalado Samba.
  • La configuración de Samba, excepto la asignación de ID, existe en el archivo /etc/samba/smb.conf.

Procedimiento

  1. Edite la sección [global] en el archivo /etc/samba/smb.conf:

    1. Añada una configuración de asignación de ID para el dominio por defecto (*) si no existe. Por ejemplo: 

      idmap config * : backend = tdb
idmap config * : range = 10000-999999

    2. Habilite el back end de asignación de ID de ad para el dominio de AD: 

      idmap config DOMAIN: backend = ad

    3. Establezca el rango de IDs que se asigna a los usuarios y grupos en el dominio AD. Por ejemplo: 

      idmap config DOMAIN: rango = 2000000-2999999
      Importante

      El rango no debe solaparse con ninguna otra configuración de dominio en este servidor. Además, el rango debe ser lo suficientemente grande como para incluir todos los IDs asignados en el futuro. Para más detalles, consulte Sección 3.4.1, “Planificación de rangos de ID de Samba”.

    4. Establezca que Samba utilice el esquema RFC 2307 cuando lea los atributos de AD: 

      idmap config DOMAIN: schema_mode = rfc2307

    5. Para permitir que Samba lea el shell de inicio de sesión y la ruta de acceso al directorio personal de los usuarios desde el atributo AD correspondiente, establezca: 

      idmap config DOMAIN: unix_nss_info = yes

      Como alternativa, puede establecer una ruta de directorio principal y un shell de inicio de sesión uniformes para todo el dominio que se apliquen a todos los usuarios. Por ejemplo: 

      template shell = /bin/bash
template homedir = /home/%U

    6. Por defecto, Samba utiliza el atributo primaryGroupID de un objeto de usuario como grupo principal del usuario en Linux. Como alternativa, puede configurar Samba para que utilice el valor establecido en el atributo gidNumber en su lugar: 

      idmap config DOMAIN: unix_primary_group = yes

  2. Verifique el archivo /etc/samba/smb.conf: 

    # testparm

  3. Recarga la configuración de Samba: 

    # smbcontrol all reload-config

Recursos adicionales

  • Sección 3.4.2, “The * default domain”
  • Para más detalles sobre los parámetros utilizados en el procedimiento, consulte las páginas de manual smb.conf(5) y idmap_ad(8).
  • Para más detalles sobre la sustitución de variables, consulte la sección VARIABLE SUBSTITUTIONS en la página de manual smb.conf(5).