samba4 AD DCを、idmap config backend = adにして、最小ユーザとグループでファイル共有をテストしてみました。
要点としては、memberマシンから見たときに、userのuidNumberは無論のこと、gidNumberもidmap configの範囲内に設定する必要がある、と言うことです。
さらに、idmap config backend ad の場合、user だけでなく、groupも rangeで指定した範囲のgidNumberを付与し作成する必要がありました。
その為、Domain Users, Domain Adminsにも、gidNumberを付与する必要がある、ということになります。結論から言うと、ほかのアカウントやBuiltinアカウントに対しても、gidNumber付与が必要でした。
調べたところ、ほかにまとまった情報が見つからなかったので、idmap config backend = adでのuidNumber/gidNumber付与について以下、簡単にですが、手動での設定の手順を記しておきます。
====記====
1. idmap のrangeを決める。この時、信頼関係のあるドメインを使う場合も想定しておく。
例:idmap config MYDOMAIN : range = 10000-19999
2. domain usersとdomain admins の gid numberを、gidNumberを前述の 範囲で設定する。windows10の場合、属性エディターで設定できます。
(RSAT Active Directory ユーザとコンピュータにて、[表示]->[拡張機能]をクリックすると、プロパティー表示の際、属性エディターが表示されます。)
2-a. 他のグループを作成するときも, gidNumberを前述の範囲で設定する。gidNumberについては以下同じ。
例:
domain admins: gidNumber=19512
domain users: gidNumber=19513
4 AdministratorのgidNumber,loginShell,msSFU30Name,msSFU30NisDomain,uid,uidNumber,unixHomeDirectoryを設定。
例:Administrator
gidNumber=19500, loginShell=/usr/sbin/nologin, msSFU30Name=administrator, msSFU30NisDomain=mydomain.site
uid=administrator,uidNumber=19500,unixHomeDirectory=/home/MYDOMAIN/administrator
5. 既存のグループで、gidNumberを設定する。(下記の参考:RIDを参照のこと。)
Domain Admins, Domain Users, BUILTIN\Administrators, BUILTIN\Users 等。
6. samba-tool domain user createの時, gidNumberを2.の範囲のgidNumberで指定する。
参考:RID
500 DOMAINNAME\Administrator
501 DOMAINNAME\Guest
512 DOMAINNAME\Domain Admins
513 DOMAINNAME\Domain Users
514 DOMAINNAME\Domain Guests
544 BUILTIN\Administrators
545 BUILTIN\Users
546 BUILTIN\Groups
548 BUILTIN\Account Operators
549 BUILTIN\Server Operators
550 BUILTIN\Print Operators
551 BUILTIN\Backup Operators
552 BUILTIN\Replicator
要点としては、memberマシンから見たときに、userのuidNumberは無論のこと、gidNumberもidmap configの範囲内に設定する必要がある、と言うことです。
さらに、idmap config backend ad の場合、user だけでなく、groupも rangeで指定した範囲のgidNumberを付与し作成する必要がありました。
その為、Domain Users, Domain Adminsにも、gidNumberを付与する必要がある、ということになります。結論から言うと、ほかのアカウントやBuiltinアカウントに対しても、gidNumber付与が必要でした。
調べたところ、ほかにまとまった情報が見つからなかったので、idmap config backend = adでのuidNumber/gidNumber付与について以下、簡単にですが、手動での設定の手順を記しておきます。
====記====
1. idmap のrangeを決める。この時、信頼関係のあるドメインを使う場合も想定しておく。
例:idmap config MYDOMAIN : range = 10000-19999
2. domain usersとdomain admins の gid numberを、gidNumberを前述の 範囲で設定する。windows10の場合、属性エディターで設定できます。
(RSAT Active Directory ユーザとコンピュータにて、[表示]->[拡張機能]をクリックすると、プロパティー表示の際、属性エディターが表示されます。)
2-a. 他のグループを作成するときも, gidNumberを前述の範囲で設定する。gidNumberについては以下同じ。
例:
domain admins: gidNumber=19512
domain users: gidNumber=19513
4 AdministratorのgidNumber,loginShell,msSFU30Name,msSFU30NisDomain,uid,uidNumber,unixHomeDirectoryを設定。
例:Administrator
gidNumber=19500, loginShell=/usr/sbin/nologin, msSFU30Name=administrator, msSFU30NisDomain=mydomain.site
uid=administrator,uidNumber=19500,unixHomeDirectory=/home/MYDOMAIN/administrator
5. 既存のグループで、gidNumberを設定する。(下記の参考:RIDを参照のこと。)
Domain Admins, Domain Users, BUILTIN\Administrators, BUILTIN\Users 等。
6. samba-tool domain user createの時, gidNumberを2.の範囲のgidNumberで指定する。
参考:RID
500 DOMAINNAME\Administrator
501 DOMAINNAME\Guest
512 DOMAINNAME\Domain Admins
513 DOMAINNAME\Domain Users
514 DOMAINNAME\Domain Guests
544 BUILTIN\Administrators
545 BUILTIN\Users
546 BUILTIN\Groups
548 BUILTIN\Account Operators
549 BUILTIN\Server Operators
550 BUILTIN\Print Operators
551 BUILTIN\Backup Operators
552 BUILTIN\Replicator
コメント
コメントを投稿