idmap_ad — Winbind用のSambaの idmap_adバックエンド
idmap_adプラグインは、RFC2307/SFUスキーマ拡張を使うADサーバーからの idマッピングをWinbindが読み出す方法を提供する。このモジュールは"idmap" APIのみに実装され、リードオンリである。マッピングは、posixAccount/posixGroupクラスと、ユーザーに対する 相対的な属性型/属性値ペアとAD中のグループオブジェクトを管理者によって前もって 追加することを提供されることが必要である。
現在、ad
バックエンドは既定値のidmapバックエンドとしては
動作せず、これを使用したい場合、各ドメイン毎に個別に、disjoint rangeを使って
設定しなければならない。通常、書き込み可能な既定値のidmapレンジを設定しなければ
ならないが、このときには、たとえば、tdb
または
ldap
バックエンドを、BUILTIN sidや他の信頼するドメインを
マップすることができるようにするために使う。書き込み可能な既定値の設定はまた、
グループマッピングの作成が出来るようにするために必要である。この包括的な
既定値のidmap設定は、idmap バックエンド ad
を使う
任意の明示的に設定されたドメインからdisjointされたレンジを持たなければならない。
以下の例を参照のこと。
Currently, the ad
backend
does not work as the the default idmap backend, but one has
to configure it separately for each domain for which one wants
to use it, using disjoint ranges. One usually needs to configure
a writeable default idmap range, using for example the
tdb
or ldap
)
backend, in order to be able to map the BUILTIN sids and
possibly other trusted domains. The writeable default config
is also needed in order to be able to create group mappings.
This catch-all default idmap configuration should have a range
that is disjoint from any explicitly configured domain with
idmap backend ad
. See the example below.
これは、バックエンドが信頼できるuidとgidレンジの有効な一致を定義する。 レンジはフィルターとして振る舞うことに注意。もしも、指定された任意のUIDまたはGIDが レンジを外れてしまうAD内に格納されていたならば、レンジは無視され、対応する マップは破棄される。ローカルとリモートで定義されたIDの、偶然のUID/GIDの重なりを防ぐために、それは意図されている。
Active Directory に関するユーザーとグループ情報を問い合わせるときに、idmap_adを 使うべきであるスキーマを定義する。これは、Windows 2003 R2またはService for Unix(SFU) スキーマ中に含まれているRFC2307スキーマサポートよりも簡単である。 SFU 3.0と3.5は、"sfu" を、SFU 2.0は、"sfu20"を選択すること。 プライマルグループのメンバーシップは現在常時"primaryGroupID" LDAP属性から計算されることに注意。
以下の例は、どのように、プリンシパルと信頼されたADドメインから相対的なidマッピングを 検索するかを示している。もしも、信頼されたドメインが存在するidと競合するならば、 それは、あらかじめ解決されていなければならず、順番が競合したマッピングはその時点 で解決されていることについては何らの保証もない。 この例はまた、どのように、BULITINのような内部のバックエンドを使うことが出来る ローカルのid割り当てのために競合しない小さなレンジを残すための方法を示している。
[global] workgroup = CORP idmap config * : backend = tdb idmap config * : range = 1000000-1999999 idmap config CORP : backend = ad idmap config CORP : range = 1000-999999