idmap_ldap — SambaのWinbind用idmap_ldapバックエンド
idmap_ldap プラグインは、 LDAP ディレクトリサービスにある SID/uid/gid のマッピングテーブルに対して、 Winbind から格納/呼び出しを 行う手段を提供する。
idmap_ridのような呼び出しのみのバックエンドと異なり、 これは、割り当てを行うバックエンドである。これは、新しいマッピングを 生成するために、新しいユーザーとグループIDを割り当てる必要があるという ことである。
SID/uid/gid マッピングエントリーを行う際に使用する、
ディレクトリの base suffix を定義する。定義されていない場合、
idmap_ldap はデフォルトで ${prefix}/etc/smb.conf
の "ldap idmap suffix"
オプションの値を使用する。
認証の際に使用する user DN を定義する。 この認証に使うsecretは、net idmap secret (net(8)を参照)を使って 格納せねばならない。もしも存在しない場合、 ldap passdb 設定からのldap認証情報が使われ、それもない 場合、最終的な処理として、匿名バインドが実行される。
既存の SID/uid/gid マップエントリーのために使用する LDAP サーバーを指定する。未定義の場合、 ldap://localhost/ が使われる。
バックエンドが権威を持つと規定されている、 uid と gid の利用可能な マッチング範囲を定義する。
以下の使用例は、どのようにldapディレクトリが既定値のidmap バックエンド として使われるかを示している。idmap rangeとベースディレクトリ サフィックスの設定も示している。idmap_user_dnのsecretは "net idmap secret '*' password"で設定されねばならない。
[global] idmap config * : backend = ldap idmap config * : range = 1000000-1999999 idmap config * : ldap_url = ldap://localhost/ idmap config * : ldap_base_dn = ou=idmap,dc=example,dc=com idmap config * : ldap_user_dn = cn=idmap_admin,dc=example,dc=com
この使用例は、マッピングを格納するためにtdbが既定値のバックエンドと なっている間、リードオンリのバックエンドとしてldapが使うことが出来る という事を示している。これは、あるドメインDOM1に対する明示的な 設定を追加し、これはldap idmap backend を使う。既定値のレンジから 共通範囲を持たないレンジが使われることに注意。
[global] # "backend = tdb" is redundant here since it is the default idmap config * : backend = tdb idmap config * : range = 1000000-1999999 idmap config DOM1 : backend = ldap idmap config DOM1 : range = 2000000-2999999 idmap config DOM1 : read only = yes idmap config DOM1 : ldap_url = ldap://server/ idmap config DOM1 : ldap_base_dn = ou=idmap,dc=dom1,dc=example,dc=com idmap config DOM1 : ldap_user_dn = cn=idmap_admin,dc=dom1,dc=example,dc=com
LDAP サーバーに対して認証を使用するには DN とパスワードを 指定する必要があるだろう。設定ファイル中に平文で指定された パスワードが晒されてしまうことを防ぐために、これらはセキュリティ ストアの中に格納される。特定の idmap ドメインにおいて、指定された DN に対する秘密のパスワードを格納するには "net idmap " コマンドを使用する。