[samba-jp:22564] Re: 複数のADドメインに対してファイル共有を提供する

[TAKAHASHI Motonobu/高橋 基信]

たかはしもとのぶです。

> SambaがあるADドメイン（AA）に参加している場合に，
> 別のドメインのADドメイン（BB）に参加しているユーザに対してファイル共有を
> 提供する場合はどのようにすればよいでしょうか。

趣旨がよくわからないので答えにくいのですが、
AAドメインがBBドメインを信頼していれば、AAドメインに
参加しているSambaサーバで

> winbindのidmapを
> 
>         idmap config AA : base_rid = 1000
>         idmap config AA : range = 1000000-2000000
>         idmap config AA : backend = rid
> 
>         idmap config BB : base_rid = 1000
>         idmap config BB : range = 3000000-4000000
>         idmap config BB : backend = rid
> 
> などは可能でしょうか。

といった設定を行うことで、BBドメインのユーザに対してもUIDや
GIDを払い出すことは可能です。

そのような用途のために、idmap config の次にドメイン名を指定
できるようになっていますので。

信頼関係がないのであれば、矢野さんが書いている通りで、
基本的には、何らかの形でAAドメインのユーザとして認証して
もらうしかありません。

これは、Windowsの認証の概念に起因する仕様です。

-- 
TAKAHASHI Motonobu/高橋 基信 <monyo ＠ monyo.com>
      @damemonyo / facebook.com/takahashi.motonobu