LinuCレベル3 300試験の例題と解説

394.1ユーザアカウントとグループアカウントの管理

LinuC 300試験の試験範囲から「394.1 ユーザアカウントとグループアカウントの管理」についての例題を解いてみます。
ここでは、idmapのバックエンドについて確認しておきましょう。

Linucレベル3 300試験出題範囲

例題

idmapのadバックエンドの説明として間違っているものを一つ選択してください。

adバックエンドはsmb.confの[global]セクションに設定する
adバックエンドを設定した場合でも、デフォルトのバックエンドを設定しなければならない
adバックエンドでは、WindowsユーザのUNIX属性のUIDの値をそのままUIDとして割り当てることができる
adバックエンドでは、WindowsユーザのSIDからUID、GIDが割り当てられる

※この例題は実際の試験問題とは異なります。

解答と解説

正解は、「4. adバックエンドでは、WindowsユーザのSIDからUID、GIDが割り当てられる」です。

WindowsユーザのSIDとLinuxユーザのUIDやGIDをマッピングする機能をidmapと言います。
idmapの実体はidmapバックエンドというモジュールで、Sambaにはさまざまなidmapバックエンドがあります。
主なidmapのバックエンドは以下の通りです。

ldap : LDAPディレクトリに格納された割り当て情報を利用
tdb : ローカルのTDBファイルに格納された割り当て情報を利用
rid : Active Directoryに格納された割り当て情報を利用
ad : Active Directoryに格納された割り当て情報を利用

今回の例題にあるadバックエンドは、WindowsユーザのUNIX属性の値を使用して、UIDやGIDを割り当てることができます。

adバックエンドを利用する場合、smb.confに以下のような設定を行います。（一部抜粋）

[glocal]
security = ADS
workgroup = SAMDOM
realm = SAMDOM.EXAMPLE.COM
log file = /var/log/samba/%m.log
log level = 1

:

idmap config * : backend = tdb
idmap config * : range = 3000-7999

:

idmap config SAMDOM:backend = ad
idmap config SAMDOM:schema_mode = rfc2307
idmap config SAMDOM:range = 10000-999999

:

上記の例のように、adバックエンドはsmb.confの[global]セクションに設定します。
また、adバックエンドとは別にデフォルトのバックエンドを設定することは必須です。

よってadバックエンドの説明として間違っているものは
「4. adバックエンドでは、WindowsユーザのSIDからUID、GIDが割り当てられる」となります。
4の選択肢のような、WindowsユーザのSIDからUID、GIDが割り当てられるバックエンドは、ridバックエンドです。

このように、idmapバックエンドの種類によって、UID、GIDの割り当て方法も変わってきます。
バックエンドの種類に加え、それぞれのバックエンドが、割り当てるUID、GIDをどのように生成するのかも把握しておきましょう。