Name

idmap_ad — Winbind用のSambaの idmap_adバックエンド

説明

idmap_adプラグインは、RFC2307/SFUスキーマ拡張を使うADサーバーからの idマッピングをWinbindが読み出す方法を提供する。このモジュールは"idmap" APIのみに実装され、リードオンリである。マッピングは、posixAccount/posixGroupクラスと、ユーザーに対する 相対的な属性型/属性値ペアとAD中のグループオブジェクトを管理者によって前もって 追加することを提供されることが必要である。

現在、adバックエンドは既定値のidmapバックエンドとしては 動作せず、これを使用したい場合、各ドメイン毎に個別に、disjoint rangeを使って 設定しなければならない。通常、書き込み可能な既定値のidmapレンジを設定しなければ ならないが、このときには、たとえば、tdbまたは ldapバックエンドを、BUILTIN sidや他の信頼するドメインを マップすることができるようにするために使う。書き込み可能な既定値の設定はまた、 グループマッピングの作成が出来るようにするために必要である。この包括的な 既定値のidmap設定は、idmap バックエンド adを使う 任意の明示的に設定されたドメインからdisjointされたレンジを持たなければならない。 以下の例を参照のこと。

Currently, the ad backend does not work as the the default idmap backend, but one has to configure it separately for each domain for which one wants to use it, using disjoint ranges. One usually needs to configure a writeable default idmap range, using for example the tdb or ldap) backend, in order to be able to map the BUILTIN sids and possibly other trusted domains. The writeable default config is also needed in order to be able to create group mappings. This catch-all default idmap configuration should have a range that is disjoint from any explicitly configured domain with idmap backend ad. See the example below.

IDMAP オプション

range = low - high

 これは、バックエンドが信頼できるuidとgidレンジの有効な一致を定義する。 レンジはフィルターとして振る舞うことに注意。もしも、指定された任意のUIDまたはGIDが レンジを外れてしまうAD内に格納されていたならば、レンジは無視され、対応する マップは破棄される。ローカルとリモートで定義されたIDの、偶然のUID/GIDの重なりを防ぐために、それは意図されている。

schema_mode = <rfc2307 | sfu | sfu20>

Active Directory に関するユーザーとグループ情報を問い合わせるときに、idmap_adを 使うべきであるスキーマを定義する。これは、Windows 2003 R2またはService for Unix(SFU) スキーマ中に含まれているRFC2307スキーマサポートよりも簡単である。 SFU 3.0と3.5は、"sfu" を、SFU 2.0は、"sfu20"を選択すること。 プライマルグループのメンバーシップは現在常時"primaryGroupID" LDAP属性から計算されることに注意。

使用例

以下の例は、どのように、プリンシパルと信頼されたADドメインから相対的なidマッピングを 検索するかを示している。もしも、信頼されたドメインが存在するidと競合するならば、 それは、あらかじめ解決されていなければならず、順番が競合したマッピングはその時点 で解決されていることについては何らの保証もない。 この例はまた、どのように、BULITINのような内部のバックエンドを使うことが出来る ローカルのid割り当てのために競合しない小さなレンジを残すための方法を示している。

	[global]
	workgroup = CORP
        idmap config * : backend = tdb
        idmap config * : range = 1000000-1999999

	idmap config CORP : backend  = ad
	idmap config CORP : range = 1000-999999
	

著者

オリジナルの Samba ソフトウェアと関連するユーティリティは、 Andrew Tridgell によって作成された。現在 Samba は Samba Team によって、 Linux カーネルの開発と同様のオープンソースプロジェクトとして開発が 行なわれている。

日本語訳

このマニュアルページは Samba 4.0.6 - 4.5.0 に対応する。

このドキュメントの翻訳は

  • 武田保真

  • たかはしもとのぶ

  • 太田俊哉(ribbon@samba.gr.jp)

によって行なわれた。