idmap_rfc2307 — Samba Winbindの idmap_rfc2307 バックエンド
idmap_rfc2307 プラグインは、RFC 2307で定義されたLDAPサーバ中の レコードからidマッピングを、winbindが読み取るための機能を提供する プラグインである。LDAPサーバ中サーバはスタンドアロンでも、ADサーバによって 提供されるものでもよい。ADサーバは常時名前とSID間でのマッピングを 提供するために必要とされ、LDAPサーバは名前とuid/gid間でのマッピングのために 問合せされる。このモジュールは、"idmap" APIのみを実装し、 読み取り機能のみを提供する。
マッピングはActive Directoryサーバ中にユーザアカウントと、 posixAccount と、 posixGroup オブジェクトをLDAPサーバ中に作成する事を、 Administratorによって事前に準備しておくことが必要である。 Active Directoryサーバ中とLDAPサーバ中の名前は、同じでなければならない。
この id マッピングアプローチでは、RFC 2307 形式でレコードを格納している 既存の LDAP 認証サーバを再利用することが出来るようになる。
AD によって提供された LDAP サーバへ接続する時、パラメータ ldap ssl adsはSSLを使うかを決める。 スタンドアロンの LDAP サーバを使うときは、 ldap ssl を適用する。
バックエンドが権限を持っている マッチングが有効なUIDとGIDを定義する。レンジが フィルタとして動作する事に注意。もしも、AD中に 格納されている任意のUIDとGIDの範囲外の値を指定した 場合、レンジは無視され、対応するマップは破棄される。 これは、ローカルと、リモートで定義されたID間で、 UID/GIDのオーバラップによるアクシデントを 防ぐという事を意図している。
使用するLDAPサーバのタイプを定義する。 これは、Active Directoryサーバ(ad)によって提供される LDAPサーバか、スタンドアロンのLDAPサーバかを指定する。
LDAPサーバ中にある ユーザオブジェクトの検索ベースを指定する。
LDAPサーバ中にある グループオブジェクトの検索ベースを指定する。
LDAP中のユーザ名に対して、 uidの代わりにcn属性を問い合わせる。このオプションは 必須ではないので、既定値は no である。
LDAP クエリ中のグループ (と、もしも user_cnが設定された場合はusersも) のために、 cn に@realm を追加する。このオプションは 必須ではないので、既定では realm にはなにも追加されない。
Active Directory サーバ中の LDAPサーバを使う時、これは、Active Directory サーバにアクセスするためのドメインを指定出来るようにする。 これはまた、一箇所で、すべてのRFC 2307レコードを 保持している間、信頼関係を使えるようにする。 このパラメータはオプションであり、既定値は、LDAP レコードを問い合わせるために、現在のドメイン中の ADサーバにアクセスする。
スタンドアロンのLDAPサーバを使う時、 このパラメータは、LDAPサーバにアクセスするための ldap URLを指定する。
認証に使うためのユーザDNを 定義する。このユーザにおける認証のためのシークレットは、 net idmap secret で格納される( net(8)を参照)。 もしも存在しない場合、匿名バインドが実行される。
以下の例は、スタンドアロン LDAP サーバから id マッピングを どのように検索するかを示す例である。この例は又、どのように、 BUILTIN のような、内部バックエンド中で使用されうる ローカル id 割り当てにとは競合しない、小さなレンジを確保することも 示す。
[global] idmap config * : backend = tdb idmap config * : range = 1000000-1999999 idmap config DOMAIN : backend = rfc2307 idmap config DOMAIN : range = 2000000-2999999 idmap config DOMAIN : ldap_server = stand-alone idmap config DOMAIN : ldap_url = ldap://ldap1.example.com idmap config DOMAIN : ldap_user_dn = cn=ldapmanager,dc=example,dc=com idmap config DOMAIN : bind_path_user = ou=People,dc=example,dc=com idmap config DOMAIN : bind_path_group = ou=Group,dc=example,dc=com