ldap - idmap -нужен или нет

idmap - это от самбы, для хранения id. Непосредственно openldap'у он не нужен. Если самба не хранит idmap во лдапе, то он не нужен.

Если самба не хранит idmap во лдапе

а тогда зачем вобще было хранить idmap? ведь в нем -я посмотрел- полные сиды групп, те ид_домена+ид_группы, так ведь самба и так видит ид_групп и ид_домена через dn_ldap_admin...

смб-юзеров же сиды самба в idmap не хранит... странное изобретение идмап, на мой взгляд бесполезное засорение бд лдапа дублирующими данными

зачем нужен idmap? вот смотри. есть у тебя пара систем, юзеры-шмузеры, компы и т.д.

в пределах одной системы id линукс-юзеров не совпадают (не должны совпадать), а в пределах нескольких систем могут перекрываться.

при том, что в виндах sid - реально уникальная фигня в пределах домена. потому нужен idmap, чтобы корректно отображать юниксовых юзеров в виндовых и не было путаницы. например, возможна ситуация ,что один и тот же юзер (с т.з. винды) будет иметь разные права на разных самба-машинах, что неправильно.

в пределах одного домена под самбой и с централизованным хранилищем юзерских аккаунтов в отсутствие линукс-машин это может быть лишнее. но когда несколько линукс-самб в виндовом домене - тут могут случаться коллизии. вообще, эта idmap имеет смысл для работы не столько самбы, сколько winbind (сервис «привязок» юниксовых акков к виндовым в домене, внезапно). т.е., это нужно, когда самба сама выступает в роли workstation в виндовой сети по большей части.

у idmap могут быть разные бэкенды, у тебя, видимо, база соответствий хранится в лдап это один из возможных вариантов.

конкретно у тебя - я хз, зачем там это все поднимали в свое время. я бы рекомендовал классическое - «работает? -не трогай!».

спасибо разьяснил примерн,

но встаки во1 там ид юзеров нету, а только группы, (ну эт ладно -можт он так настроен был),,а во2 ну как можно самбе перепутать сид с такой конструкцией - ид_дом(или ид_компа)+ид_юзера(или группы)??

вот ведь там что реально:

dn: sambaSID=S-1-5-32-545,ou=Idmap,dc=***,dc=***

dn: sambaSID=S-1-1-0,ou=Idmap,dc=***,dc=***

dn: sambaSID=S-1-5-2,ou=Idmap,dc=***,dc=***

dn: sambaSID=S-1-5-32-546,ou=Idmap,dc=***,dc=***

dn: sambaSID=S-1-5-21-3818554400-921237426-3143208535-5002,ou=Idmap,dc=***.....

dn: sambaSID=S-1-5-21-3818554400-921237426-3143208535-513,ou=Idmap,dc=***.......

dn: sambaSID=S-1-5-11,ou=Idmap,dc=***,dc=***

...

sambaSID=S-1-5-21-3818554400-921237426-3143208535 -domainsid,, и далее "-5002" "-513" ... -смб_ид_группы

ну если линукс машина или комп - свой значит ид будет... столько блоков цифр - наверняка там как у мак адреса.. -откого-что-что_именно, ну те неповторится

ну так и есть --

idmap backend = ldap:ldap://127.0.0.1 -деперкейт

-это я самбу обновил

аа нет там теперь др директива - idmap config DOMAIN : backend = ldap

ну один х с ней в idmap ниче нового незаписывается

короче исследования заканчиваю,, длясебя понял -не нужен идмап

ну, вот тут еще посмотри.

да эт я все уж проехал переехал неск раз, недавно только контроллер опять поднимал, (точку пропустил ...и получилось rm -rf /*/* , вместо ./*/* ),, но на нашу тему идмапа ниче там нету откровенного

вощем спасибо удачи здоровья и пусть точка всегда у вас нажимается

ну, тогда не знаю, чего еще сказать ;)

если самба выступает в роли PDC в сети из виндовс-машин, winbind и idmap действительно не нужны. если самба выступает в роли обычной рабочей машины (standalone server) в виндовом домене (в т.ч. и в сам,овском), тогда для корректной работы с пользователями - нужны.

в этом домене 1s и шлюз- линуксы,, и ничетакого

вот их сид

sambaSID: S-1-5-21-3818554400-921237426-3143208535-1036

sambaSID: S-1-5-21-3818554400-921237426-3143208535-1537

а домен никакой ни виндовый .. просто там в основном клиенты виндовые раб ст, но был один на suse работал тоже в домене

ненужен идмап- депрекет )) был бы я директор самбы -давнобы отменил)

а и еще у шефа был мак тоже в домен завести пршлось