idmap_ldap — SambaのWinbind用idmap_ldapバックエンド
idmap_ldap プラグインは、 LDAP ディレクトリサービスにある SID/uid/gid のマッピングテーブルに対して、 Winbind から格納/ 呼び出しを行う手段を提供する。このモジュールは "idmap" と "idmap alloc" API の両方を実装している。
SID/uid/gid マッピングエントリの検索を行う際に使用する、 ディレクトリの base suffix を定義する。定義されていない場合、 idmap_ldap はデフォルトで smb.conf の "ldap idmap suffix" オプションの値を使用する。
認証の際に使用する user DN を定義する。 未定義の場合は匿名バインドが実行される。
既存の SID/uid/gid マップのエントリを検索する際に使用する LDAP サーバーを指定する。未定義の場合、 ldap://localhost/ が使われる。
バックエンドが権威を持つと規定されている、 uid と gid の利用可能な マッチング範囲を定義する。事実上同じバックエンドが SID/uid/gid マッピングのエントリを格納/呼び出しするため、通常その範囲は 割り当て範囲と同じになる。指定がない場合 Winbind はフェイル オーバーして、 smb.conf の "idmap uid" と "idmap gid" オプションを使用する。
そのディレクトリの中で、新しい SID/uid/gid マッピングのエントリを 格納するべき base suffix を定義する。指定がない場合、 idmap_ldap は デフォルトとして smb.conf の "ldap idmap suffix" オプションを使用する。
認証の際に使用するuser DNを定義する。 未定義の場合は匿名バインドが実行される。
modify/add/delete リクエストを送信する宛先としての LDAP サーバー を指定する。未定義の場合 ldap://localhost/ が使われる。
winbindd からユーザーとグループに対して割り当てができる uid と gid の利用可能範囲を定義する。指定がない場合 Winbind はフェイル オーバーして、 smb.conf の "idmap uid" と "idmap gid" オプションを使用する。
以下の LDAP 設定の例は、SID/gid/uid マッピングを高速に検索するために localhost 上で動作しているスレーブサーバーのものであり、紹介(referral) の設定が正しくなされていることを暗に示している。 idmap 割当て用バックエンドは直接マスターを指しており、紹介(とそれに 続くマスターへの再接続)はスキップされる。これにより、スレーブは 割り当て要求の結果としてマスター側で書き込まれたものを返してくれる。
[global] idmap domains = ALLDOMAINS idmap config ALLDOMAINS:default = yes idmap config ALLDOMAINS:backend = ldap idmap config ALLDOMAINS:ldap_base_dn = ou=idmap,dc=example,dc=com idmap config ALLDOMAINS:ldap_url = ldap://localhost/ idmap config ALLDOMAINS:range = 10000 - 50000 idmap alloc backend = ldap idmap alloc config:ldap_base_dn = ou=idmap,dc=example,dc=com idmap alloc config:ldap_url = ldap://master.example.com/ idmap alloc config:range = 10000 - 50000
LDAP サーバーに対して認証を使用するには DN とパスワードを 指定する必要があるだろう。設定ファイル中に平文で指定された パスワードが晒されてしまうことを防ぐために、これらはセキュリティ ストアの中に格納される。特定の idmap ドメインにおいて、指定された DN に対する秘密のパスワードを格納するには "net idmap " コマンドを使用する。