Winbind功能详解与配置指南
1. idmap后端概述
在某些场景下,你可能希望对winbindd为域账户分配uids和gids的方式有更多控制,或者想在多台服务器的Winbind安装中共享映射。idmap后端参数允许你指定一个替代的SID到uid/gid数据库,它还可能提供替代的uid和gid分配语义。Samba 3.0.22目前提供了四种受支持的idmap后端模块:
-tdb:用于本地uid和gid分配的默认后端。优点是几乎不需要设置或维护;缺点是每个Winbind服务器安装为用户分配不同的uid,与NFS不兼容。
-ldap:为解决NFS和tdb后端的问题,添加了在LDAP目录服务中存储SID到uid/gid映射的支持。如果网络中已有可用的LDAP目录,该后端可确保多个Winbind安装之间的映射表一致。
-rid:RID后端共享库为单域安装提供了集中映射解决方案。只有在配置脚本中传递--with-shared-modules=idmap_rid选项时才会构建。它根据Windows相对标识符生成Unix ID值,保证域SID和Unix账户之间的一对一映射,但不支持受信任域。
-ad:AD后端利用Active Directory中存储的POSIX信息,而不是分配任何本地uid或gid值。目前仅支持具有Unix服务(SFU)架构扩展的域。构建Samba时需指定--with-shared-modules=idmap_ad选项。
