0
NIS-Rollenfunktion bei zentralem ID-Mapping für Samba-Member-Server
Hallochen Gemeinde,
im Rahmen einer Domänenmigration soll das ID-Mapping für die Samba-Member-Server vereintlicht und künftig über das Active Directory gesteuert werden. Das erfolgt einerseits über den Parameter "idmap config DOMAIN:backend = ad" in der smb.conf und andererseits über die AD-Attribute uidNumber, gidNumber etc. Einer der Vorteile davon ist, dass dafür das ADUC-Tool aus den RSAT-Tools für die Verwaltung (weiter)verwendet werden kann. Das ADUC-Toll soll dann unter anderem die nächste freie uid-/gidNumber automatisch hochzählen können.
Die betreffenden UNIX-Attribute sind bereits sowohl in der alten als auch in der neuen Domäne (beide Level 2008R2) vorhanden, ohne dass die Rollenfunktion "Identity Management for UNIX" installiert wurde. Wird diese Rollenfunktion installiert, soll es zu einer Schemaerweiterung und zu dem Element "CN=ypServ30,CN=RpcServices, CN=System,DC=..." nebst Unterstruktur kommen. Ab Windows Server 2012R2 wird diese Rollenfunktion aber nicht mehr angeboten (siehe: msxfaq.de - NIS und NFS).
Daneben findet sich unter SambaWiki "Idmap config ad" der Hinweis:
If the Active Directory Users and Groups (ADUC) utility is used to assign the UNIX attributes, the NIS extensions have to be installed. For details, see Setting up RFC2307 in AD.
In dem ersten Verweis wird die Benutzung der ADUC-Tools für die UNIX-Attribute näher beschrieben. Beim zweiten Verweis finden sich detailliertere Angaben zur Implementierung der NIS-Erweiterung, die sich nach meinem Verständnis auf ein (reines) Samba-AD, aber eher nicht auf ein Windows AD beziehen.
Daraus ergeben sich für mich folgende Fragen an diejenige mit entsprechenden Praxiserfahrungen:
1. Muss die Rollenfunktion für das beabsichtigte ID-Mapping wirklich installiert werden, wenn es im Kern um die Nutzung der bereits vorhandenen Attribute uidNumber, gidNumber, unixHomeDirectory, loginShell geht?
Ich würde meinen nein, weil insbesondere keine NIS-Struktur gewollt ist und die vier Attribute für das ID-Mapping als absolut ausreichend erscheinen.
2. Kann die UNIX-Funktionialität des ADUC-Tools ohne die Installation der Rollenfunktion überhaupt vernünftig genutzt werden, insbesondere das automatische Hochzählen?
Laut dem ersten Verweis im Zitat kann das Register "UNIX Attribute" nur sinnvoll genutzt werden, wenn eine vorhandene NIS-Domäne ausgewählt wird. Das wiederum würde wohl die zumindest kurzzeiige Installation der Rollenfunktion erfordern, damit eine solche NIS-Domäne generiert werden kann; bisher ist in den beiden Domänen nichts dergleichen vorhanden. Gibt es eine alternative Möglichkeit für die Generierung ohne diese Rollenfunktion?
Hat jemand gegebenenfalls einen Tipp für ein alternatives Tool zur Verwaltung der UNIX-Attribute, insbesondere ohne das Erfordernis der NIS-Domäne?
3. Sind die vier genannten Attribute auch bei einer frisch aufgesetzten Windows-2016/9-Domäne standardmäßig im AD-Schema vorhanden? Könnte das jemand einmal bei den Attributen eines User-Accounts nachsehen? Das ist perspektivisch von Interesse für mich.
Vielen Dank im Voraus
HansDampf06
im Rahmen einer Domänenmigration soll das ID-Mapping für die Samba-Member-Server vereintlicht und künftig über das Active Directory gesteuert werden. Das erfolgt einerseits über den Parameter "idmap config DOMAIN:backend = ad" in der smb.conf und andererseits über die AD-Attribute uidNumber, gidNumber etc. Einer der Vorteile davon ist, dass dafür das ADUC-Tool aus den RSAT-Tools für die Verwaltung (weiter)verwendet werden kann. Das ADUC-Toll soll dann unter anderem die nächste freie uid-/gidNumber automatisch hochzählen können.
Die betreffenden UNIX-Attribute sind bereits sowohl in der alten als auch in der neuen Domäne (beide Level 2008R2) vorhanden, ohne dass die Rollenfunktion "Identity Management for UNIX" installiert wurde. Wird diese Rollenfunktion installiert, soll es zu einer Schemaerweiterung und zu dem Element "CN=ypServ30,CN=RpcServices, CN=System,DC=..." nebst Unterstruktur kommen. Ab Windows Server 2012R2 wird diese Rollenfunktion aber nicht mehr angeboten (siehe: msxfaq.de - NIS und NFS).
Daneben findet sich unter SambaWiki "Idmap config ad" der Hinweis:
If the Active Directory Users and Groups (ADUC) utility is used to assign the UNIX attributes, the NIS extensions have to be installed. For details, see Setting up RFC2307 in AD.
In dem ersten Verweis wird die Benutzung der ADUC-Tools für die UNIX-Attribute näher beschrieben. Beim zweiten Verweis finden sich detailliertere Angaben zur Implementierung der NIS-Erweiterung, die sich nach meinem Verständnis auf ein (reines) Samba-AD, aber eher nicht auf ein Windows AD beziehen.
Daraus ergeben sich für mich folgende Fragen an diejenige mit entsprechenden Praxiserfahrungen:
1. Muss die Rollenfunktion für das beabsichtigte ID-Mapping wirklich installiert werden, wenn es im Kern um die Nutzung der bereits vorhandenen Attribute uidNumber, gidNumber, unixHomeDirectory, loginShell geht?
Ich würde meinen nein, weil insbesondere keine NIS-Struktur gewollt ist und die vier Attribute für das ID-Mapping als absolut ausreichend erscheinen.
2. Kann die UNIX-Funktionialität des ADUC-Tools ohne die Installation der Rollenfunktion überhaupt vernünftig genutzt werden, insbesondere das automatische Hochzählen?
Laut dem ersten Verweis im Zitat kann das Register "UNIX Attribute" nur sinnvoll genutzt werden, wenn eine vorhandene NIS-Domäne ausgewählt wird. Das wiederum würde wohl die zumindest kurzzeiige Installation der Rollenfunktion erfordern, damit eine solche NIS-Domäne generiert werden kann; bisher ist in den beiden Domänen nichts dergleichen vorhanden. Gibt es eine alternative Möglichkeit für die Generierung ohne diese Rollenfunktion?
Hat jemand gegebenenfalls einen Tipp für ein alternatives Tool zur Verwaltung der UNIX-Attribute, insbesondere ohne das Erfordernis der NIS-Domäne?
3. Sind die vier genannten Attribute auch bei einer frisch aufgesetzten Windows-2016/9-Domäne standardmäßig im AD-Schema vorhanden? Könnte das jemand einmal bei den Attributen eines User-Accounts nachsehen? Das ist perspektivisch von Interesse für mich.
Vielen Dank im Voraus
HansDampf06
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 663795
Url: https://administrator.de/contentid/663795
Printed on: April 19, 2024 at 08:04 o'clock
