web-dev-qa-db-ja.com

Winbindを使用するための最良の管理方法は?

SAMBA/Winbindを介したAD認証を使用するために、いくつかのLinuxサーバーを移行することを計画しています。オペレーティングシステムはopenSUSE11.3x64になります。 AD環境にはUNIX拡張機能がインストールされていません。

サーバーを最初からセットアップしましたが、うまく機能しているようです。 openSUSEのインストーラーは、ADを理解し、必要なすべての構成ファイルを設定するという素晴らしい仕事をしました。ただし、Winbindオプションをいくつか自分で設定しました。私の作業構成:

[global]
        workgroup = DOMAIN
        passdb backend = tdbsam
        map to guest = Bad User
        include = /etc/samba/dhcp.conf
        usershare allow guests = No
        idmap gid = 10000-20000
        idmap uid = 10000-20000
        realm = DOMAIN.INST.ORG
        security = ADS
        template homedir = /home/%D/%U
        template Shell = /bin/bash
        winbind offline logon = yes
        winbind refresh tickets = yes
        winbind use default domain = yes
        wins support = No

すべてが機能します。コンソールまたはSSHのいずれかからADアカウントを介してログインできます。 AD資格情報を使用してSAMBA経由でホームディレクトリに接続することもできます([homes]ディレクティブを省略しました)。

私はいくつか質問があります:

  1. デフォルトでは、winbind&sambaは構成をTDBファイルに保存します。 LDAPバックエンドを使用するオプションがあることに気付きました。いくつかのサーバーをセットアップするのは面倒ですか?
  2. TDBファイルをバックアップおよび復元するためのベストプラクティスは何ですか? tdbbackupコマンドに気づきました。 cronする必要がありますか?別のバックアップ方法を使用しますか?
  3. UID/GIDが先着順で生成されていることに気付きました。 1年ほど前にこれをテストしたことを覚えています。私のUIDは、1983745637のように非常に大きな数でした。なぜ違いがあるのでしょうか。このタイプのUID/GID割り当てを管理するためのベストプラクティスはありますか? NFSを使用する予定はありませんが、万が一の場合に備えて、システム間でUID/GIDが同じであると便利です。

同様の設定をサポートしている、または現在サポートしているシステム管理者から直接体験してもらいたいと思います。何に注意すればいいですか?他にどのようなベストプラクティスに従う必要がありますか?

また、同様に評価したところ、私たちの環境はあまり好きではなかったようです。ログインに長い遅延が発生し、SAMBAと統合できませんでした。この設定ははるかにうまく機能します。

前もって感謝します...

3
churnd

本当に、あなたがここで尋ねたすべてとそれ以上は読むことによって答えることができます 公式のSambaHOWTOとリファレンスガイド 。ほとんどの管理者はその存在に気付いていないようですが、一度それを把握すると、Sambaのインストールに関する問題/謎/質問のほとんどは簡単に解決されます。私がSambaチームに与える賢明なアドバイスがあったとしたら、それはHOWTOをより頻繁に公の場で宣伝することでしょう。

そうは言っても、私が持っている知識をあなたに少しだけ伝えようと思います。

デフォルトでは、winbind&sambaは構成をTDBファイルに保存します。 LDAPバックエンドを使用するオプションがあることに気付きました。いくつかのサーバーをセットアップするのは面倒ですか?

いくつか定義します。少数の場合、5〜7未満を意味する場合、TDBファイルは問題ありませんが、少しのTLCが必要です。数十または数百のサーバーで組織を運営している場合、LDAPはあなたの正気を救います。免責事項:一度に2〜3回のSambaインストールを実行するだけでよいため、LDAPマッピングのセットアップは試していません。

TDBファイルをバックアップおよび復元するためのベストプラクティスは何ですか? tdbbackupコマンドに気づきました。 cronする必要がありますか?別のバックアップ方法を使用する

前述のように elsewhere 、TDBバックエンドを使用する場合はtdbbackupを使用できます。 Samba 4では別のストレージ方法を検討しているため、将来のSambaバージョンは変更されることに注意してください。1日に1回cronジョブを使用しても問題はないでしょうが、慎重にスクリプトを作成してシャットオフして再実行する必要があります。 -スクリプトの実行前後にサービスを有効にします。

UID/GIDが先着順で生成されていることに気付きました。 1年ほど前にこれをテストしたことを覚えています。私のUIDは、1983745637のように非常に大きな数でした。なぜ違いがあるのでしょうか。

戻って、そのインストールのidmap gididmap uidの設定を確認します。過去に、そのような奇妙なマッピングを持つベンダー提供のsmb.confファイルがいくつかありました。

このタイプのUID/GID割り当てを管理するためのベストプラクティスはありますか?

スタンドアロンサーバーの場合、IDの同期に関する実際の懸念はないため、問題にはなりません。 Active Directoryのセットアップでは、ADを介してマップされたものに固執する必要があります。 LDAP設定の場合、ユーザーIDを手動で指定する方法があると思います。

NFSを使用する予定はありませんが、万が一の場合に備えて、システム間でUID/GIDが同じであると便利です。

これが本当に必要な場合は、ユーザーを手動でマッピングすることを検討します。これは、一度に1つずつ追加するか、LDAPバックエンドを使用して行うことができます。詳細については、HOWTOを参照してください。

2
Avery Payne