idmap_ad — Winbind用のSambaの idmap_adバックエンド
idmap_adプラグインは、RFC2307/SFUスキーマ拡張を使うADサーバーからの idマッピングをWinbindが読み出す方法を提供する。このモジュールは"idmap" APIのみに実装され、リードオンリである。 マッピングは、AD中の、ユーザーに対してはuidNumber属性、グループに対しては gidNumber属性を追加することで、管理者によって前もって追加することを提供 されることが必要である。Winbindは、uidNumberが設定され、そのプライマリ グループがgidNumber属性を設定されているユーザのみをマップする。 しかしながら、使用中のすべてのグループがgidNumberを持っている事を推奨し、 そうでない場合は動作しない。
idmap_adモジュールは、Sambaバージョン3.0と3.2からかなり変わっている事に注意。
現在、ad
バックエンドは既定値のidmapバックエンドとしては
動作せず、これを使用したい場合、各ドメイン毎に個別に、disjoint rangeを使って
設定しなければならない。通常、書き込み可能な既定値のidmapレンジを設定しなければ
ならないが、このときには、たとえば、tdb
または
ldap
バックエンドを、BUILTIN sidや他の信頼するドメインを
マップすることができるようにするために使う。書き込み可能な既定値の設定はまた、
グループマッピングの作成が出来るようにするために必要である。この包括的な
既定値のidmap設定は、idmap バックエンド ad
を使う
任意の明示的に設定されたドメインからdisjointされたレンジを持たなければならない。
以下の例を参照のこと。
Note that the idmap_ad module has changed considerably since
Samba versions 3.0 and 3.2.
Currently, the ad
backend
does not work as the the default idmap backend, but one has
to configure it separately for each domain for which one wants
to use it, using disjoint ranges. One usually needs to configure
a writeable default idmap range, using for example the
tdb
or ldap
)
backend, in order to be able to map the BUILTIN sids and
possibly other trusted domains. The writeable default config
is also needed in order to be able to create group mappings.
This catch-all default idmap configuration should have a range
that is disjoint from any explicitly configured domain with
idmap backend ad
. See the example below.
これは、バックエンドが信頼できるuidとgidレンジの有効な一致を定義する。 レンジはフィルターとして振る舞うことに注意。もしも、指定された任意のUIDまたはGIDが レンジを外れてしまうAD内に格納されていたならば、レンジは無視され、対応する マップは破棄される。ローカルとリモートで定義されたIDの、偶然のUID/GIDの重なりを防ぐために、それは意図されている。
Active Directory に関するユーザーとグループ情報を問い合わせるときに、idmap_adを 使うべきであるスキーマを定義する。これは、Windows 2003 R2またはService for Unix(SFU) スキーマ中に含まれているRFC2307スキーマサポートよりも簡単である。
以下の例は、どのように、プリンシパルと信頼されたADドメインから相対的なidマッピングを 検索するかを示している。もしも、信頼されたドメインが存在するidと競合するならば、 それは、あらかじめ解決されていなければならず、順番が競合したマッピングはその時点 で解決されていることについては何らの保証もない。 この例はまた、どのように、BULITINのような内部のバックエンドを使うことが出来る ローカルのid割り当てのために競合しない小さなレンジを残すための方法を示している。
[global] idmap config * : backend = tdb idmap config * : range = 1000000-1999999 idmap config CORP : backend = ad idmap config CORP : range = 1000-999999