使用 Winbind 的最佳管理实践?

使用 Winbind 的最佳管理实践?

我计划将我们的一些 Linux 服务器迁移到通过 SAMBA/Winbind 使用 AD 身份验证。操作系统将是 openSUSE 11.3 x64。我们的 AD 环境没有安装 UNIX 扩展。

我从头开始设置了一个服务器,它似乎运行良好。 openSUSE 的安装程序在感知 AD 和设置所有必要的配置文件方面做得很好。 不过,我自己设置了一些 Winbind 选项。 我的工作配置:

[global]
        workgroup = DOMAIN
        passdb backend = tdbsam
        map to guest = Bad User
        include = /etc/samba/dhcp.conf
        usershare allow guests = No
        idmap gid = 10000-20000
        idmap uid = 10000-20000
        realm = DOMAIN.INST.ORG
        security = ADS
        template homedir = /home/%D/%U
        template shell = /bin/bash
        winbind offline logon = yes
        winbind refresh tickets = yes
        winbind use default domain = yes
        wins support = No

一切正常。我可以通过控制台或 SSH 通过我的 AD 帐户登录。我还可以使用我的 AD 凭据通过 SAMBA 连接到我的主目录(我省略了 [homes] 指令)。

我确实有几个问题:

  1. 默认情况下,winbind 和 samba 将其配置存储在 TDB 文件中。我注意到有一个使用 LDAP 后端的选项。为几台服务器进行设置会很麻烦吗?
  2. 备份和恢复 TDB 文件的最佳实践是什么?我注意到了 tdbbackup 命令。我应该按计划执行它吗?使用其他备份方法?
  3. 我注意到 UID/GID 是按照先到先得的原则生成的。我记得大约一年前测试过这个,我的 UID 是一个很大的数字,比如 1983745637。为什么会有差异?有没有管理这种 UID/GID 分配的最佳实践?我不打算使用 NFS,但如果 UID/GID 在各个系统上都相同就好了,以防万一,虽然如果我做不到,也不会有什么大不了的。

我想从曾经支持或目前支持类似设置的系统管理员那里获得一些第一手经验。我应该注意什么?我还应该遵循哪些最佳实践?

此外,我评估了 Likewise,发现它似乎不太适合我们的环境。登录时会遇到长时间的延迟,并且无法将其与 SAMBA 集成。此设置效果好得多。

提前致谢...

答案1

真的,你在这里问的所有问题以及其他问题都可以通过阅读来回答官方 Samba HOWTO 和参考指南。似乎大多数管理员都不知道它的存在,但一旦他们掌握了它,大多数与 Samba 安装有关的问题/谜团/疑问都会迎刃而解。如果我要给 Samba 团队一个明智的建议,那就是更频繁地在公共场合宣传 HOWTO。

话虽如此,我还是会尽力将我所知道的一点点知识传授给你。

默认情况下,winbind 和 samba 将其配置存储在 TDB 文件中。我注意到有一个使用 LDAP 后端的选项。为几台服务器进行设置会很麻烦吗?

定义一些。如果“一些”是指少于 5-7 个,那么 TDB 文件就没问题,但需要一点 TLC。如果您经营的组织有 10 或 100 个服务器,LDAP 将让您保持理智。免责声明:我一次只需要运行 2-3 个 Samba 安装,所以我没有尝试过 LDAP 映射设置。

备份和恢复 TDB 文件的最佳实践是什么?我注意到了 tdbbackup 命令。我应该按计划执行它吗?使用其他备份方法

如上所述别处,当使用 TDB 后端时,您可以使用 tdbbackup。请注意,未来的 Samba 版本将会发生变化,因为我相信他们正在研究 Samba 4 中的不同存储方法。每天使用一次 cron 作业可能不会有什么坏处,尽管您需要仔细编写脚本以在脚本运行之前和之后关闭并重新启用服务。

我注意到 UID/GID 是按照先到先得的原则生成的。我记得大约一年前测试过这个,我的 UID 是一个很大的数字,比如 1983745637。为什么会有这种差异?

返回并检查该安装的设置idmap gididmap uid过去有一些供应商提供的 smb.conf 文件有类似的奇怪映射。

管理此类 UID/GID 分配有什么最佳实践吗?

对于独立服务器,这无关紧要,因为无需真正担心同步 ID。对于 Active Directory 设置,您需要坚持使用通过 AD 映射的内容。对于 LDAP 设置,我相信有一种方法可以手动指定用户 ID。

我不打算使用 NFS,但如果在系统间拥有相同的 UID/GID 就更好了,尽管如果我不能这样做,这也不是什么大问题。

如果您确实需要这个,我会努力手动映射用户,您可以通过一次添加一个用户来完成,或者考虑使用 LDAP 后端。有关更多信息,请参阅 HOWTO。

相关内容