私のCentOS 7システムはドメインFOOBAR(認証済み)に正常に参加しました。realm list
以下はAD(非ローカル)ユーザーに関する情報です。
[root@centos7 ~]# id [email protected]
uid=5631533([email protected]) gid=5600513(domain [email protected])
groups=5600513(domain [email protected]),5631532([email protected])
UIDとGIDはどのように割り当てられますか?どういうわけか希望の値にマッピングすることは可能ですか?
答え1
SSSDのADマッピングは、デーモン自体のアルゴリズム(ハッシュ関数である可能性があります)を使用して決定されます。組み込まれているため、デフォルト値が同じままである場合、SSSDを使用するすべてのシステムは何に関係なく同じ値にマッピングされたIDを持つ必要があります。パソコンを使用しています。これはADマッピングのRed Hatの説明:
SSSDは、IDマッピングと呼ばれるプロセスでADユーザーのSIDを使用してPOSIX IDをアルゴリズム的に生成できます。 IDマッピングは、ADのSIDとLinuxのIDとの間のマッピングを生成します。
SSSD は、新しい AD ドメインを検出すると、新しいドメインに使用可能な ID 範囲を割り当てます。したがって、各 AD ドメインは各 SSSD クライアント コンピュータで同じ ID 範囲を持ちます。
AD ユーザーが初めて SSSD クライアント コンピュータにログインすると、SSSD は、ユーザーの SID とドメインの ID 範囲に基づいて、UID を含む SSSD キャッシュにそのユーザーのエントリを作成します。
ADユーザーのIDは同じSIDで一貫して生成されるため、Red Hat Enterprise Linuxシステムにログインすると、ユーザーは同じUIDとGIDを持ちます。
次のコマンドを使用して、IDの最小値と最大値を設定できます。min_id
そしてmax_id
[ドメイン/名前] sssd.confのセクション。「ドメインセクション」の下の説明を参照してください。 「はい」には使用例があります。
[sssd]
domains = LDAP
services = nss, pam
config_file_version = 2
[nss]
filter_groups = root
filter_users = root
[pam]
[domain/LDAP]
id_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com
auth_provider = krb5
krb5_server = kerberos.example.com
krb5_realm = EXAMPLE.COM
cache_credentials = true
min_id = 10000
max_id = 20000
enumerate = False
これらの値をオーバーライドして一貫したマッピングを維持するには、SSSDでこのドメインを使用する他のシステムにも同じマッピングを設定する必要があります。