名前

idmap_rfc2307 — Samba Winbindの idmap_rfc2307 バックエンド

説明

idmap_rfc2307 プラグインは、RFC 2307で定義されたLDAPサーバ中の レコードからidマッピングを、winbindが読み取るための機能を提供する プラグインである。LDAPサーバ中サーバはスタンドアロンでも、ADサーバによって 提供されるものでもよい。ADサーバは常時名前とSID間でのマッピングを 提供するために必要とされ、LDAPサーバは名前とuid/gid間でのマッピングのために 問合せされる。このモジュールは、"idmap" APIのみを実装し、 読み取り機能のみを提供する。

マッピングはActive Directoryサーバ中にユーザアカウントと、 posixAccount と、 posixGroup オブジェクトをLDAPサーバ中に作成する事を、 Administratorによって事前に準備しておくことが必要である。 Active Directoryサーバ中とLDAPサーバ中の名前は、同じでなければならない。

この id マッピングアプローチでは、RFC 2307 形式でレコードを格納している 既存の LDAP 認証サーバを再利用することが出来るようになる。

AD によって提供された LDAP サーバへ接続する時、パラメータ ldap ssl adsはSSLを使うかを決める。 スタンドアロンの LDAP サーバを使うときは、 ldap ssl を適用する。

IDMAP オプション

range = low - high

バックエンドが権限を持っている マッチングが有効なUIDとGIDを定義する。レンジが フィルタとして動作する事に注意。もしも、AD中に 格納されている任意のUIDとGIDの範囲外の値を指定した 場合、レンジは無視され、対応するマップは破棄される。 これは、ローカルと、リモートで定義されたID間で、 UID/GIDのオーバラップによるアクシデントを 防ぐという事を意図している。

ldap_server = <ad | stand-alone >

使用するLDAPサーバのタイプを定義する。 これは、Active Directoryサーバ(ad)によって提供される LDAPサーバか、スタンドアロンのLDAPサーバかを指定する。

bind_path_user

LDAPサーバ中にある ユーザオブジェクトの検索ベースを指定する。

bind_path_group

LDAPサーバ中にある グループオブジェクトの検索ベースを指定する。

user_cn = <yes | no>

LDAP中のユーザ名に対して、 uidの代わりにcn属性を問い合わせる。このオプションは 必須ではないので、既定値は no である。

realm

LDAP クエリ中のグループ (と、もしも user_cnが設定された場合はusersも) のために、 cn に@realm を追加する。このオプションは 必須ではないので、既定では realm にはなにも追加されない。

ldap_domain

Active Directory サーバ中の LDAPサーバを使う時、これは、Active Directory サーバにアクセスするためのドメインを指定出来るようにする。 これはまた、一箇所で、すべてのRFC 2307レコードを 保持している間、信頼関係を使えるようにする。 このパラメータはオプションであり、既定値は、LDAP レコードを問い合わせるために、現在のドメイン中の ADサーバにアクセスする。

ldap_url

スタンドアロンのLDAPサーバを使う時、 このパラメータは、LDAPサーバにアクセスするための ldap URLを指定する。

ldap_user_dn

認証に使うためのユーザDNを 定義する。このユーザにおける認証のためのシークレットは、 net idmap secret で格納される( net(8)を参照)。 もしも存在しない場合、匿名バインドが実行される。

使用例

以下の例は、スタンドアロン LDAP サーバから id マッピングを どのように検索するかを示す例である。この例は又、どのように、 BUILTIN のような、内部バックエンド中で使用されうる ローカル id 割り当てにとは競合しない、小さなレンジを確保することも 示す。

	[global]
	idmap config * : backend = tdb
	idmap config * : range = 1000000-1999999

	idmap config DOMAIN : backend = rfc2307
	idmap config DOMAIN : range = 2000000-2999999
	idmap config DOMAIN : ldap_server = stand-alone
	idmap config DOMAIN : ldap_url = ldap://ldap1.example.com
	idmap config DOMAIN : ldap_user_dn = cn=ldapmanager,dc=example,dc=com
	idmap config DOMAIN : bind_path_user = ou=People,dc=example,dc=com
	idmap config DOMAIN : bind_path_group = ou=Group,dc=example,dc=com
	

著者

オリジナルの Samba ソフトウェアとそれに関連するユーティリティーは、 Andrew Tridgell によって作られた。Samba は現在、Linux カーネル開発と 同様の方法で、Samba Team によりオープンソースプロジェクトとして 開発されている。

日本語訳

このマニュアルページは Samba 4.7.0 - 4.17.0 に対応する。

このドキュメントの Samba 4.1.0 - 4.17.0 対応の翻訳は

  • 太田俊哉(ribbon@samba.gr.jp)

によって行なわれた。