Product SiteDocumentation Site

6.17.4. Использование ad

Можно настроить пользователя Samba AD на использование бэкенда ad.
Бэкенд ad реализует API, доступный только для чтения, для чтения информации об учетной записи и группе из AD. Это обеспечивает следующие преимущества:
  • все настройки пользователей и групп хранятся централизованно в AD;
  • идентификаторы пользователей и групп совпадают на всех клиентах;
  • идентификаторы не хранятся в локальной базе данных, которая может быть повреждена, и, следовательно, права на файлы не могут быть потеряны.

Примечание

Бэкенд ad не поддерживает домены AD с односторонними доверительными отношениями. Если настраивается участник домена в AD с односторонними доверительными отношениями, следует вместо этого использовать одну из следующих серверных частей сопоставления идентификаторов: tdb, rid или autorid.

Таблица 6.23. Атрибуты из AD, которые считывает бэкенд ad

Имя атрибута AD
Тип объекта
Сопоставление
sAMAccountName
Пользователь и группа
Имя пользователя или группы в зависимости от объекта
uidNumber
Пользователь
Идентификатор пользователя (UID)
gidNumber
Группа
Идентификатор группы (GID)
loginShell
Пользователь
Путь к командной строке пользователя
Предварительные требования:
  • и пользователи, и группы должны иметь уникальные идентификаторы, заданные в AD. Идентификаторы должны находиться в диапазоне, настроенном в файле smb.conf. Объекты, идентификаторы которых находятся за пределами диапазона, не будут доступны на клиенте;
  • у пользователей и групп должны быть заданы все необходимые атрибуты в AD;
  • настроено сопоставление идентификаторов в файле smb.conf.
Пример: 
idmap config * : backend = tdb
idmap config * : range = 3000-7999

idmap config TEST : backend = ad
idmap config TEST : range = 10000-999999
idmap config TEST : schema_mode = rfc2307
Чтобы разрешить клиенту домена считывать командную строку входа в систему и путь к домашнему каталогу пользователей из соответствующего атрибута AD, необходимо установить: 
idmap config DOMAIN : unix_nss_info = yes
В качестве альтернативы можно установить единый путь к домашнему каталогу для всего домена и командную строку входа, которые будут применяться ко всем пользователям. Например: 
template shell = /bin/bash
template homedir = /home/%U