Name

idmap_rfc2307 — Samba Winbindの idmap_rfc2307 バックエンド

説明

idmap_rfc2307 プラグインは、RFC 2307で定義されたLDAPサーバ中の レコードからidマッピングを、winbindが読み取るための機能を提供する プラグインである。LDAPサーバ中サーバはスタンドアロンでも、ADサーバによって 提供されるものでもよい。ADサーバは常時名前とSID間でのマッピングを 提供するために必要とされ、LDAPサーバは名前とuid/gid間でのマッピングのために 問合せされる。このモジュールは、"idmap" APIのみを実装し、 読み取り機能のみを提供する。

マッピングはActive Directoryサーバ中にユーザアカウントと、 posixAccount と、 posixGroup オブジェクトをLDAPサーバ中に作成する事を、 Administratorによって事前に準備しておくことが必要である。 Active Directoryサーバ中とLDAPサーバ中の名前は、同じでなければならない。

このidマッピングアプローチでは、RFC 2307形式でレコードを格納している 既存のLDAP認証サーバを再利用することが出来るようになる。

IDMAP オプション

range = low - high

バックエンドが権限を持っている マッチングが有効なUIDとGIDを定義する。レンジが フィルタとして動作する事に注意。もしも、AD中に 格納されている任意のUIDとGIDの範囲外の値を指定した 場合、レンジは無視され、対応するマップは破棄される。 これは、ローカルと、リモートで定義されたID間で、 UID/GIDのオーバラップによるアクシデントを 防ぐという事を意図している。

ldap_server = <ad | stand-alone >

使用するLDAPサーバのタイプを定義する。 これは、Active Directoryサーバ(ad)によって提供される LDAPサーバか、スタンドアロンのLDAPサーバかを指定する。

bind_path_user

LDAPサーバ中にある ユーザオブジェクトのバインドパスを指定する。

bind_path_group

LDAPサーバ中にある グループオブジェクトのバインドパスを指定する。

user_cn = <yes | no>

LDAP中のユーザ名に対して、 uidの代わりにcn属性を問い合わせる。このオプションは 必須ではないので、既定値は no である。

cn_realm = <yes | no>

LDAP中のグループ (と、もしも user_cnが設定された場合はusersも) のために、 cn に@realm を追加する。このオプションは 必須ではないので、既定値は no である。

ldap_domain

Active Directory サーバ中の LDAPサーバを使う時、これは、Active Directory サーバにアクセスするためのドメインを指定出来るようにする。 これはまた、1つの場所にすべてのRFC 2307レコードを 保持している間、信頼関係を使えるようにする。 このパラメータはオプションであり、既定値は、LDAP レコードを問い合わせるために、現在のドメイン中の ADサーバにアクセスする。

When using the LDAP server in the Active Directory server, this allows to specify the domain where to access the Active Directory server. This allows using trust relationships while keeping all RFC 2307 records in one place. This parameter is optional, the default is to access the AD server in the current domain to query LDAP records.

ldap_url

スタンドアロンのLDAPサーバを使う時、 このパラメータは、LDAPサーバにアクセスするための ldap URLを指定する。

ldap_user_dn

認証に使うためのユーザDNを 定義する。このユーザにおける認証のためのシークレットは、 net idmap secret で格納される( net(8)を参照)。 もしも存在しない場合、匿名バインドが実行される。

ldap_realm

ユーザおよびグループ名で使うrealm を定義する。これは、cn_realmをスタンドアロンLDAPサーバ と共に使う時にのみ必要とされる。

使用例

以下の例は、スタンドアロンLDAPサーバからidマッピングを どのように検索するかを示す例である。この例は又、どのように、 BUILTINのような、内部バックエンド中で使われてるかもしれない ローカルid割り当てのから、非競合しない小さなレンジを確保することも 示す。

The following example shows how to retrieve id mappings from a stand-alone LDAP server. This example also shows how to leave a small non conflicting range for local id allocation that may be used in internal backends like BUILTIN.

	[global]
	idmap config * : backend = tdb
	idmap config * : range = 1000000-1999999

	idmap config DOMAIN : backend = rfc2307
	idmap config DOMAIN : range = 2000000-2999999
	idmap config DOMAIN : ldap_server = stand-alone
	idmap config DOMAIN : ldap_url = ldap://ldap1.example.com
	idmap config DOMAIN : ldap_user_dn = cn=ldapmanager,dc=example,dc=com
	idmap config DOMAIN : bind_path_user = ou=People,dc=example,dc=com
	idmap config DOMAIN : bind_path_group = ou=Group,dc=example,dc=com

著者

オリジナルの Samba ソフトウェアとそれに関連するユーティリティーは、 Andrew Tridgell によって作られた。Samba は現在、Linux カーネル開発と 同様の方法で、Samba Team によりオープンソースプロジェクトとして 開発されている。

日本語訳

このマニュアルページは Samba 4.1.0 - 4.1.22 に対応する。

このドキュメントの Samba 4.1.0 - 4.1.22 対応の翻訳は

  • 太田俊哉(ribbon@samba.gr.jp)

によって行なわれた。