Linux SAMBA SAMBA AD генерація однакових uid та gid доменних користувачів на всіх серверах,
Перегляд ідентифікатора користувача:
В результаті, якщо з якоїсь причини буде пошкоджено/оновлено базу відповідності SID-ів та uid/gid (наприклад, Ви перезаведете машину до домену), то кожен користувач отримає новий ідентифікатор. В результаті доменні користувачі не зможуть отримати доступ до своїх файлів та папок, т.к. раніше призначені на їх каталоги права відповідатимуть іншим користувачам. Проблема в тому, що поновити попередній порядок записів неможливо без резервної копії бази.
Рішення: Вирішується ця проблема використанням RID у конфігурації SAMBA. Даний алгоритм генерації uid та gid використовує SID користувача/групи доменного користувача. В результаті обчислення даним алгоритмом для того самого SID буде згенерований один і той же uid/gid. В результаті на всіх серверах Linux буде єдиний простір ідентифікаторів доменних користувачів. Що дуже зручно при виділенні прав доступу.
де VGPGK – це скорочене ім'я вашого домену.
В результаті для всіх доменних користувачів і груп генеруватимуться єдині uid/gid в діапазоні від 10000 до 50000. Взагалі кажучи діапазон idmap uid та idmap gid рекомендується робити ширше ніж робити idmap config VGPGK : range. А рекомендується це з метою можливих довірчих відносин серед доменів та інших випадків, коли різні домени потребують різного діапазону ідентифікаторів. Діапазон ідентифікаторів на всіх серверах SAMBA повинен збігатися.
Після внесення цих змін достатньо перезапустити winbind, наприклад, так:
Ця конфігурація чудово працює на samba-3.6.3-0.24.4
У той же час на samba-3.0.36-0.13.20.1 чудово працює наступна конфігурація:
але на SAMBA-3.6 такий запис не працює.
На інших версіях мною не тестувалося, але думаю працювати буде.
Зараз на сайті
