使用Winbind的最佳管理实践？

Question

我计划迁移一些Linux服务器，通过SAMBA/Winbind使用AD身份验证。操作系统将是openSUSE 11.3 x64。我们的AD环境没有安装UNIX扩展。

我从零开始安装了一台服务器，它似乎运行得很好。openSUSE的安装程序在了解AD和设置所有必要的配置文件方面做得很好。但是，我自己设置了一些Winbind选项。我的工作配置：

[global]
        workgroup = DOMAIN
        passdb backend = tdbsam
        map to guest = Bad User
        include = /etc/samba/dhcp.conf
        usershare allow guests = No
        idmap gid = 10000-20000
        idmap uid = 10000-20000
        realm = DOMAIN.INST.ORG
        security = ADS
        template homedir = /home/%D/%U
        template shell = /bin/bash
        winbind offline logon = yes
        winbind refresh tickets = yes
        winbind use default domain = yes
        wins support = No

一切都正常。我可以通过我的AD帐户登录，无论是从控制台还是通过SSH。我还可以使用我的AD凭证通过SAMBA连接到我的主目录(我没有使用安家指令)。

我确实有几个问题：

1. 默认情况下，winbind & samba将它们的配置存储在TDB文件中。我注意到有一个选项可以使用LDAP后端。设置几台服务器有问题吗？
2. 备份和还原TDB文件的最佳实践是什么？我注意到tdbbackup命令。我该去调查一下吗？使用不同的备份方法？
3. 我注意到UID/GID是在先到先得的基础上生成的。我记得一年前测试过这个&我的UID是一些非常大的数字，比如1983745637。为什么会有区别？管理这类UID/GID分配的最佳实践是什么？我不打算使用NFS，但是如果UID/GID在不同的系统上是相同的，那就太好了，以防万一，如果我不能的话，它不会破坏交易。

我想从支持或目前支持类似设置的系统管理员那里获得一些第一手经验。我该注意什么？我还应该遵循哪些其他最佳做法？

而且，我也做了同样的评估，发现它似乎不太喜欢我们的环境。我会长时间延迟登录&无法将其与SAMBA集成。这种设置效果要好得多。

提前谢谢..。

Answer 1

实际上，您在这里询问的所有内容以及更多内容都可以通过阅读官方桑巴指南和参考指南来回答。似乎大多数管理员都不知道它的存在，但是一旦他们掌握了它，有关Samba安装的大多数问题/谜团/问题就会得到解决。如果有一个圣人的建议，我会给桑巴队，它将是推广如何更经常地在公共场合。

话虽如此，我还是尽量把我所掌握的一点点知识传授给你。

默认情况下，winbind & samba将它们的配置存储在TDB文件中。我注意到有一个选项可以使用LDAP后端。设置几台服务器有问题吗？

定义几个。如果很少您的意思是少于5-7，那么TDB文件是好的，但需要一点TLC。如果您运行的组织与10's或100's的服务器，LDAP将拯救您的理智。免责声明:我一次只需要运行2-3个Samba安装，所以我没有尝试LDAP映射设置。

备份和还原TDB文件的最佳实践是什么？我注意到tdbbackup命令。我该去调查一下吗？使用不同的备份方法

正如前面提到的其他地方，您可以在使用TDB后端时使用tdbbackup。请注意，未来的Samba版本将发生变化，因为我相信它们正在研究Samba 4中的另一种存储方法。每天使用cron作业一次可能不会有什么影响，不过您需要仔细编写脚本，以便在脚本运行之前和之后关闭和重新启用服务。

我注意到UID/GID是在先到先得的基础上生成的。我记得一年前测试过这个&我的UID是一些非常大的数字，比如1983745637。为什么会有区别？

返回并检查安装时的idmap gid和idmap uid设置。过去有一些供应商提供的smb.conf文件有这样奇怪的映射。

管理这类UID/GID分配的最佳实践是什么？

对于独立服务器来说，这并不重要，因为对同步ID并没有真正的关注。对于设置，您需要坚持通过AD映射的内容。对于LDAP设置，我相信有一种方法可以手动指定用户ID。

我不打算使用NFS，但是如果UID/GID在不同的系统上是相同的，那就太好了，以防万一，如果我不能的话，它不会破坏交易。

如果您真的需要这样做，我将很努力地手动映射用户，您可以一次添加一个用户，或者查看如何使用LDAP后端。有关它的更多信息，请参见指南。