idmap_ad — Winbind 用の idmap_ad バックエンド
idmap_ad プラグインは、RFC2307/SFU スキーマ拡張を使う AD サーバーからの id マッピングを Winbind が読み出す手段を提供する。このモジュールは "idmap" API を実装するだけであり、読み取り機能のみである。 AD 内のユーザーに対応する uidNumber 属性と、グループに対応する gidNumbe 属性は、 管理者が前もってマッピングに追加しておくことが必要である。 Winbind は、 uidNumber を 持ち、かつ、そのプライマリグループが、 gidNumber 属性に設定されて いるユーザーのみをマップする。ただし利用しているグループはすべて gidNumber 属性を割り当てることが推奨されている。 こうしておかないと、設定は適切に動作しない。
現在 ad バックエンドは idmap バックエンドの既定値には
なっていない。ドメインにおいてこれを利用する場合は、すべてのドメインにわたって
idmap の設定範囲が重複しないように設定する必要がある。
たとえば tdb バックエンドや ldap
バックエンドを用いる場合は、BUILTIN sid や他の信頼されたドメインを
マップ出来るようにするために、書き込み可能な既定の idmap 範囲を設定
することを通常行う。
書き込み可能な既定値の設定は、グループマッピングを作成するためにも
必要である。この包括的な既定値の idmap 設定は、idmap バックエンド
ad を使うように明示された他のどのドメインに
対しても、重複しないように設定する必要がある。
以下の例を参照のこと。
このバックエンドが割り当て権限をもつ UID および GID の範囲を定義する。 この範囲はフィルターとして処理されることに注意。 AD 内に格納されている UID または GID であっても、設定範囲 から外れたものが指定されると、この範囲指定は無視され、対応 するマップは破棄される。これは、 ローカルとリモートで定義された ID が、偶然 UID/GID が重なって しまうことを防ぐという意図がある。
idmap_ad が用いるスキーマを定義するものであり、 Active Directory においてユーザー情報やグループ情報を問い合わせる際に利用される。 これは、Windows 2003 R2 における RFC2307 スキーマサポートか、 あるいは Service for Unix (SFU) のいずれかである。 SFU 3.0 や 3.5 に対しては "sfu" を、また SFU 2.0 に対しては "sfu20" を選択すること。 プライマルグループメンバーシップの動作は、unix_primary_group オプションによって制御されることに注意。
ユーザーのプライマリグループを、SFU 属性か、あるいは AD のプライマリグループ
から取り出すかの定義。これが yes に設定された
場合、プライマリグループメンバーシップは LDAP属性 (gidNumber) から
取り出される。
no に設定された場合には、プライマリグループ
メンバーシップは LDAP 属性 "primaryGroupID" から計算される。
既定値: no
これを yes に設定した場合、winbind は
LDAP 属性からログインシェルとホームディレクトリ情報を検索する。
no に設定した場合か、 AD の LDAP エントリに
SFU 属性がない場合は、オプション template shell と
template homedir が使われる。
既定値: no
以下の例は、主として利用する信頼された AD ドメインから id マッピングを 取得する方法を示している。信頼されたドメインに対して id の競合が解決されず に残っていた場合、競合したマッピングがその順どおりに解決する保証はない。 この例はまた、競合しないわずかな範囲を残している例であり、BUILTIN のような 内部のバックエンド向けに、ローカルの id 割り当て範囲とするものである。
[global]
workgroup = CORP
idmap config * : backend = tdb
idmap config * : range = 1000000-1999999
idmap config CORP : backend = ad
idmap config CORP : range = 1000-999999