Red Hat Training

A Red Hat training course is available for RHEL 8

3.4.5. Utilización del back end de asignación de ID de crestas

Esta sección describe cómo configurar un miembro del dominio Samba para utilizar el back end de mapeo de IDs rid.

Samba puede utilizar el identificador relativo (RID) de un SID de Windows para generar un ID en Red Hat Enterprise Linux.

Nota

El RID es la última parte de un SID. Por ejemplo, si el SID de un usuario es S-1-5-21-5421822485-1151247151-421485315-30014, entonces 30014 es el RID correspondiente.

El back end de mapeo de ID de rid implementa una API de sólo lectura para calcular la información de cuentas y grupos basada en un esquema de mapeo algorítmico para dominios AD y NT4. Cuando configure el back end, debe establecer el RID más bajo y el más alto en el idmap config DOMAIN : range parámetro. Samba no mapeará usuarios o grupos con un RID inferior o superior al establecido en este parámetro.

Importante

Como back end de sólo lectura, rid no puede asignar nuevos IDs, como por ejemplo para los grupos de BUILTIN. Por lo tanto, no utilice este back end para el dominio por defecto *.

Ventajas de utilizar el back end de rid
  • Todos los usuarios y grupos del dominio que tienen un RID dentro del rango configurado están automáticamente disponibles en el miembro del dominio.
  • No es necesario asignar manualmente IDs, directorios de inicio y shells de inicio de sesión.
Inconvenientes de utilizar el back end de rid
  • Todos los usuarios del dominio tienen asignados el mismo shell de inicio de sesión y el mismo directorio personal. Sin embargo, se pueden utilizar variables.
  • Los ID de usuario y grupo sólo son iguales entre los miembros del dominio Samba si todos utilizan el back end rid con la misma configuración de rango de ID.
  • No se puede excluir a usuarios o grupos individuales de estar disponibles en el miembro del dominio. Sólo se excluyen los usuarios y grupos fuera del rango configurado.
  • Según las fórmulas que utiliza el servicio winbindd para calcular los ID, pueden producirse duplicados en entornos multidominio si los objetos de diferentes dominios tienen el mismo RID.

Requisitos previos

  • Has instalado Samba.
  • La configuración de Samba, excepto la asignación de ID, existe en el archivo /etc/samba/smb.conf.

Procedimiento

  1. Edite la sección [global] en el archivo /etc/samba/smb.conf:

    1. Añada una configuración de asignación de ID para el dominio por defecto (*) si no existe. Por ejemplo: 

      idmap config * : backend = tdb
idmap config * : range = 10000-999999

    2. Habilite el back end de asignación de ID de rid para el dominio: 

      idmap config DOMAIN: backend = rid

    3. Establezca un rango lo suficientemente grande como para incluir todos los RID que se asignarán en el futuro. Por ejemplo: 

      idmap config DOMAIN: rango = 2000000-2999999

      Samba ignora a los usuarios y grupos cuyos RIDs en este dominio no están dentro del rango.

      Importante

      El rango no debe solaparse con ninguna otra configuración de dominio en este servidor. Para más detalles, consulte Sección 3.4.1, “Planificación de rangos de ID de Samba”.

    4. Establezca una ruta de acceso al shell y al directorio principal que se asignará a todos los usuarios asignados. Por ejemplo: 

      template shell = /bin/bash
template homedir = /home/%U

  2. Verifique el archivo /etc/samba/smb.conf: 

    # testparm

  3. Recarga la configuración de Samba: 

    # smbcontrol all reload-config

    Recursos adicionales

    • Sección 3.4.2, “The * default domain”
    • Para más detalles sobre la sustitución de variables, consulte la sección VARIABLE SUBSTITUTIONS en la página de manual smb.conf(5).
    • Para más detalles sobre cómo Samba calcula el ID local a partir de un RID, consulte la página man idmap_rid(8).