名前

idmap_ad — Winbind 用の idmap_ad バックエンド

説明

idmap_ad プラグインは、RFC2307/SFU スキーマ拡張を使う AD サーバーからの id マッピングを Winbind が読み出す手段を提供する。このモジュールは "idmap" API を実装するだけであり、読み取り機能のみである。 AD 内のユーザーに対応する uidNumber 属性と、グループに対応する gidNumbe 属性は、 管理者が前もってマッピングに追加しておくことが必要である。 Winbind は、 uidNumber を 持ち、かつ、そのプライマリグループが、 gidNumber 属性に設定されて いるユーザーのみをマップする。ただし利用しているグループはすべて gidNumber 属性を割り当てることが推奨されている。 こうしておかないと、設定は適切に動作しない。

現在 ad バックエンドは idmap バックエンドの既定値には なっていない。ドメインにおいてこれを利用する場合は、すべてのドメインにわたって idmap の設定範囲が重複しないように設定する必要がある。 たとえば tdb バックエンドや ldap バックエンドを用いる場合は、BUILTIN sid や他の信頼されたドメインを マップ出来るようにするために、書き込み可能な既定の idmap 範囲を設定 することを通常行う。 書き込み可能な既定値の設定は、グループマッピングを作成するためにも 必要である。この包括的な既定値の idmap 設定は、idmap バックエンド ad を使うように明示された他のどのドメインに 対しても、重複しないように設定する必要がある。 以下の例を参照のこと。

IDMAP オプション

range = low - high

このバックエンドが割り当て権限をもつ UID および GID の範囲を定義する。 この範囲はフィルターとして処理されることに注意。 AD 内に格納されている UID または GID であっても、設定範囲 から外れたものが指定されると、この範囲指定は無視され、対応 するマップは破棄される。これは、 ローカルとリモートで定義された ID が、偶然 UID/GID が重なって しまうことを防ぐという意図がある。

schema_mode = <rfc2307 | sfu | sfu20>

idmap_ad が用いるスキーマを定義するものであり、 Active Directory においてユーザー情報やグループ情報を問い合わせる際に利用される。 これは、Windows Server 2003 R2 かそれ以降にに含まれる RFC2307 スキーマサポートか Windows Server 2003 R2 より 前のバージョン用の Service for Unix (SFU) のいずれかである。 SFU 3.0 や 3.5 に対しては "sfu" を、また SFU 2.0 に対しては "sfu20" を選択すること。 プライマルグループメンバーシップの動作は、unix_primary_group オプションによって制御されることに注意。

既定値: rfc2307

unix_primary_group = yes/no

ユーザーのプライマリグループを、SFU 属性か、あるいは AD のプライマリグループ から取り出すかの定義。これが yes に設定された 場合、プライマリグループメンバーシップは LDAP属性 (gidNumber) から 取り出される。 no に設定された場合には、プライマリグループ メンバーシップは LDAP 属性 "primaryGroupID" から計算される。

既定値: no

unix_nss_info = yes/no

これを yes に設定した場合、winbind は LDAP 属性からログインシェルとホームディレクトリ情報を検索する。 no に設定した場合か、 AD の LDAP エントリに SFU 属性がない場合は、オプション template shelltemplate homedir が使われる。

既定値: no

all_groupmem = yes/no

yes に設定すると、winbind は uidNumberが欠落しているものも含み、getgrnam(3)、getgrgid(3)、 getgrent(3)呼び出しのすべてのグループメンバーを取得する。

既定値: no

deny ous

このパラメータは、ad idmap モジュール経由で マップされないオブジェクトからの OU のリストである。 deny ous が設定されたが、 allow ous が設定されない場合、 deny ous中にリストされた OU 外の 各オブジェクトは許可される。

既定値: none

allow ous

このパラメータは、ad idmap モジュール経由で マップされるオブジェクトからの OU のリストである。 allow ous が設定されたが、 deny ous が設定されない場合、 allow ous中にリストされた OU 外の 各オブジェクトは拒否される。

allow ousdeny ous が設定された場合、 deny ous が先に評価され、次に allow ousが参照される。 AD オブジェクトが一致しない場合は拒否される。

既定値: none

使用例

以下の例は、主として利用する信頼された AD ドメインから id マッピングを 取得する方法を示している。信頼されたドメインに対して id の競合が解決されず に残っていた場合、競合したマッピングがその順どおりに解決する保証はない。 この例はまた、競合しないわずかな範囲を残している例であり、BUILTIN のような 内部のバックエンド向けに、ローカルの id 割り当て範囲とするものである。

	[global]
	workgroup = CORP
        idmap config * : backend = tdb
        idmap config * : range = 1000000-1999999

	idmap config CORP : backend  = ad
	idmap config CORP : range = 1000-999999

著者

オリジナルの Samba ソフトウェアと関連するユーティリティは、 Andrew Tridgell に よって作成された。現在 Samba は Samba Team によって、 Linux カーネルの開発と同様の オープンソースプロジェクトとして開発が 行なわれている。

日本語訳

このマニュアルページは Samba 4.20.1 - 4.20.4 に対応する。

このドキュメントの翻訳は

  • 武田保真

  • たかはしもとのぶ

  • 太田俊哉(ribbon@samba.gr.jp)

によって行なわれた。