Red Hat Training

A Red Hat training course is available for RHEL 8

3.4.4. Usando o mapeamento de identificação do anúncio back end

Esta seção descreve como configurar um membro do Samba AD para usar o back end de mapeamento de ID ad.

O ad ID mapping back end implementa uma API somente leitura para ler as informações de conta e grupo do AD. Isto proporciona os seguintes benefícios:

  • Todas as configurações de usuário e grupo são armazenadas centralmente em AD.
  • As identificações de usuários e grupos são consistentes em todos os servidores Samba que utilizam este back end.
  • As IDs não são armazenadas em um banco de dados local que pode corromper e, portanto, a propriedade dos arquivos não pode ser perdida.
Nota

O ad ID mapping back end não suporta domínios Active Directory com trusts unidirecionais. Se você configurar um membro do domínio em um Active Directory com trusts unidirecionais, use ao invés de um dos seguintes back ends de mapeamento de ID: tdb, rid, ou autorid.

A parte traseira do anúncio lê os seguintes atributos do AD:

Nome do atributo ADTipo de objetoMapeado para

sAMAccountName

Usuário e grupo

Nome do usuário ou do grupo, dependendo do objeto

uidNumber

Usuário

ID do usuário (UID)

gidNumber

Grupo

ID do grupo (GID)

loginShell [a]

Usuário

Caminho para a casca do usuário

unixHomeDirectory [a]

Usuário

Caminho para o diretório pessoal do usuário

primaryGroupID [b]

Usuário

ID do grupo primário

[a] O Samba só lê este atributo se você definir idmap config DOMAIN:unix_nss_info = yes.
[b] O Samba só lê este atributo se você definir idmap config DOMAIN:unix_primary_group = yes.

Pré-requisitos

  • Tanto os usuários quanto os grupos devem ter IDs únicos definidos no AD, e as IDs devem estar dentro do intervalo configurado no arquivo /etc/samba/smb.conf. Objetos cujos IDs estão fora do intervalo não estarão disponíveis no servidor Samba.
  • Os usuários e grupos devem ter todos os atributos necessários definidos no AD. Se faltarem atributos requeridos, o usuário ou grupo não estará disponível no servidor Samba. Os atributos requeridos dependem de sua configuração. Pré-requisitos
  • Você instalou o Samba.
  • A configuração do Samba, exceto o mapeamento de ID, existe no arquivo /etc/samba/smb.conf.

Procedimento

  1. Edite a seção [global] no arquivo /etc/samba/smb.conf:

    1. Adicione uma configuração de mapeamento de identificação para o domínio padrão (*) se ele não existir. Por exemplo: 

      idmap config * : backend = tdb
idmap config * : range = 10000-999999

    2. Habilite o back end do mapeamento de ID ad para o domínio AD: 

      idmap config DOMAIN: backend = ad

    3. Defina a gama de IDs que é atribuída aos usuários e grupos no domínio AD. Por exemplo: 

      idmap config DOMAIN: intervalo = 2000000-2999999
      Importante

      A faixa não deve se sobrepor a nenhuma outra configuração de domínio neste servidor. Além disso, o intervalo deve ser definido suficientemente grande para incluir todas as IDs atribuídas no futuro. Para mais detalhes, veja Seção 3.4.1, “Planejamento de gamas de identificação Samba”.

    4. Defina que o Samba usa o esquema RFC 2307 ao ler os atributos do AD: 

      idmap config DOMAIN: schema_mode = rfc2307

    5. Para permitir que o Samba leia a shell de login e o caminho para o diretório home do usuário a partir do atributo AD correspondente, definido: 

      idmap config DOMAIN: unix_nss_info = sim

      Alternativamente, você pode definir um caminho uniforme de diretório home e shell de login em todo o domínio que é aplicado a todos os usuários. Por exemplo: 

      template shell = /bin/bash
template homedir = /home/%U

    6. Por padrão, Samba usa o atributo primaryGroupID de um objeto de usuário como o grupo primário do usuário no Linux. Alternativamente, você pode configurar o Samba para usar o valor definido no atributo gidNumber: 

      idmap config DOMAIN: unix_primary_group = sim

  2. Verifique o arquivo /etc/samba/smb.conf: 

    # testparm

  3. Recarregar a configuração do Samba: 

    # smbcontrol all reload-config

Recursos adicionais

  • Seção 3.4.2, “The * default domain”
  • Para mais detalhes sobre os parâmetros utilizados no procedimento, consulte as páginas de manual smb.conf(5) e idmap_ad(8).
  • Para obter detalhes sobre substituição de variáveis, consulte a seção VARIABLE SUBSTITUTIONS na página de manual smb.conf(5).