Verständnisfrage zu IDMAP buzw. idmap_ldap Backend

Hallo zusammen,
ich habe folgende Situation: ich teste im Moment die Samba-Integration in eine bestehende AD-Domäne. Die DCs sind hierbei alle auf Windows Server-Basis.
Den Server hab ich schon erfolgreich in die Domäne integriert und die Authentifizierung über Kerberos funktioniert.
Jetzt wollte ich mir Gedanke über das GID- bzw. UID-Mapping machen.
Dazu meine Verständnisfrage:
[*]braucht man für das idmap_ldap Backend einen openLDAP-Server, oder kann man auch die Active Directory Lightweight Directory Services (AD LDS) von MS einbinden?
[*]ist dafür zwingend eine Schema-Erweiterung des AD, oder die Windows Services for UNIX (SFU) notwendig?
[*]Sollte man einen eigenen openLDAP-Server brauchen um das IDMAP zu zentrlisieren, kann man den dann aus den AD LDS betanken?

Ich finde, dass sich als Alternative zum idmap_ldap das idmap_rid eigentlich gut anhört. Es wird aber als "depreciated" beschrieben. Warum bzw. was spricht dagegen?


Vielen Dank Euch!!

Die Integration eines Linux-Servers in eine Active Directory Domäne benötigt kein LDAP sondern nur die richtigen Einstellungen für Winbind und einen Kerberos-Client.

Die Integration hab ich ja schon. Mir ging es bei der Frage um das ID-Mapping.

Und warum nicht die ADS Variante ?


So long

ThomasF

muss man dafür nicht das AD-Schema erweitern/verändern?

Welcher MS Server denn ?

Ab 2003 braucht man IMHO die SFU nicht mehr sepperat installieren ...

So long

ThomasF

Die User ID von Linux ist eine andere als die von Windows. Also muss die Linux User ID einer von Windows zugeordnet (gemappt) werden. Genau das macht idmap.

Genau was spoensche geschrieben hat. Unter Windows hat ein user die SID die sich aus dem SID der Domäne und dem RID für den Benutzer zusammensetzt. Der RID ist in der gesamten Domäne eindeutig. Da es unter Linux so etwas nicht gibt, wird der RID auf einen UID umgesetzt und intern in einer Tabelle verwaltet. Das ganze passiert auf dem Samba-Server und dafür muss nichts im AD verändert werden.

Hi,

obwohl schon eine Weile vergangen ist, wollte ich noch eine Kleinigkeit anmerken

Richtig ist das die Kombination aus SID und RID immer eindeutig ist und die RID für sich in jeder Domain ebenso eindeutig.
Samba bietet nun eben auch mehrere Möglichkeiten die Kombination SID + RID auf eine Posix-UID zu "mappen"

Ich persönlich finde nun, dass bei einer zentralen Benutzerverwaltung wie der ADS, bei der es auch möglich ist das Mapping zentral zu verwalten, diese Möglichkeit auch vorzugsweise genutzt werden sollte.

Abgesehen von der "Eleganz" dieser Möglichkeit gibt es auch noch andere Gründe.

* Die Freigabe des gleichen Datenbestandes z.B. per NFS ist "einfacher"
* Wenn man mehrere Fileserver betreiben möchte besitzen die User auf allen Servern, ohne großen Aufwand, auch die gleiche UID.
* Ein Backup der Samba-Konfiguration beschränkt sich auf die smb.conf (lokale Datenbanken für das Mapping gibt es dann nicht)
* Linux Clients mit zentraler Authentifizierung lassen sich einfach einbinden, auch wiederum mit einheitlichen und eindeutigen UIDs innerhalb der Domain.
* ...

In jedem Fall wählt man sicherlich für sich die Variante, die für die jeweiligen Einsatzgebiete die größte Stabilität, die einfachste Konfiguration und den geringsten Aufwand bedeutet ... wobei man aber auch zukünftige Entwicklungen abschätzen sollte.

So long