idmap_ad — Winbind用のSambaの idmap_adバックエンド
idmap_adプラグインは、RFC2307/SFUスキーマ拡張を使うADサーバーからの idマッピングをWinbindが読み出す方法を提供する。このモジュールは"idmap" APIのみに実装され、リードオンリである。マッピングは、posixAccount/posixGroupクラスと、ユーザーに対する 相対的な属性型/属性値ペアとAD中のグループオブジェクトを管理者によって前もって 追加することを提供されることが必要である。
現在、ad
バックエンドは既定値のidmapバックエンドとしては
動作せず、これを使用したい場合、各ドメイン毎に個別に、disjoint rangeを使って
設定しなければならない。通常、書き込み可能な既定値のidmapレンジを設定しなければ
ならないが、このときには、たとえば、tdb
または
ldap
バックエンドを、BUILTIN sidや他の信頼するドメインを
マップすることができるようにするために使う。書き込み可能な既定値の設定はまた、
グループマッピングの作成が出来るようにするために必要である。この包括的な
既定値のidmap設定は、idmap バックエンド ad
を使う
任意の明示的に設定されたドメインからdisjointされたレンジを持たなければならない。
以下の例を参照のこと。
Currently, the ad
backend
does not work as the the default idmap backend, but one has
to configure it separately for each domain for which one wants
to use it, using disjoint ranges. One usually needs to configure
a writeable default idmap range, using for example the
tdb
or ldap
)
backend, in order to be able to map the BUILTIN sids and
possibly other trusted domains. The writeable default config
is also needed in order to be able to create group mappings.
This catch-all default idmap configuration should have a range
that is disjoint from any explicitly configured domain with
idmap backend ad
. See the example below.
これは、バックエンドが信頼できるuidとgidレンジの有効な一致を定義する。 レンジはフィルターとして振る舞うことに注意。もしも、指定された任意のUIDまたはGIDが レンジを外れてしまうAD内に格納されていたならば、レンジは無視され、対応する マップは破棄される。ローカルとリモートで定義されたIDの、偶然のUID/GIDの重なりを防ぐために、それは意図されている。
Active Directory に関するユーザーとグループ情報を問い合わせるときに、idmap_adを 使うべきであるスキーマを定義する。これは、Windows 2003 R2またはService for Unix(SFU) スキーマ中に含まれているRFC2307スキーマサポートよりも簡単である。 SFU 3.0と3.5は、"sfu" を、SFU 2.0は、"sfu20"を選択すること。 プライマルグループメンバーシップの動作は、unix_primary_group オプションによって制御されることに注意。
ユーザのプライマリグループを、SFU属性か、あるいはADのプライマリグループ
から取り出すかの定義。これがyes
に設定された
場合、プライマリグループメンバシップは LDAP属性 (gidNumber)から
取り出される。
no
に設定された場合には、プライマリグループ
メンバシップは "primaryGroupID" LDAP 属性から計算される。
既定値: no
これをyes
に設定した場合、winbind は
LDAP 属性からログインシェルとホームディレクトリ情報を検索する。
no
に設定した場合か、 AD の LDAP エントリに
SFU 属性がない場合は、オプション template shellと
template homedirが使われる。
既定値: no
以下の例は、プリンシパルと信頼された AD ドメインから相対的な id マッピングを 検索する方法を示している。もしも、信頼されたドメインが存在する id と競合するならば、 それは、あらかじめ解決されていなければならず、順番が競合したマッピングはその時点 で解決されていることについては何らの保証もない。 この例はまた、どのように、BULITINのような内部のバックエンドを使うことが出来る ローカルのid割り当てのために競合しない小さなレンジを残すための方法を示している。
[global] workgroup = CORP idmap config * : backend = tdb idmap config * : range = 1000000-1999999 idmap config CORP : backend = ad idmap config CORP : range = 1000-999999