Моя компания планирует миграцию пользователей, компьютеров и групп из приобретенной компании. У обеих компаний есть домены Active Directory, и между ними существует двустороннее доверие. У другой компании есть данные о серверах Linux, доступ к которым осуществляется через SAMBA, и они защищены с помощью пользователей и групп AD. Мы надеемся выполнить поэтапную миграцию подмножества объектов в течение определенного периода времени, а не переносить все объекты сразу.
Вопрос в том, сможет ли пользователь после миграции в наш домен по-прежнему иметь доступ к общему ресурсу SAMBA в доверяющем домене?
Это зависит от того, как эти серверы Samba настроены для обработки сопоставления имени пользователя / UID и имени группы / GID. Это делается с помощью idmap директивы. Есть несколько способов настроить Samba для этого, но какой из них используется, повлияет на то, как они смогут обрабатывать междоменные доверительные отношения и учетные записи, мигрирующие между доменами.
Руководство для этого находится здесь:
http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/idmapper.html
Если они используют серверную часть Winbind по умолчанию, базу данных, которая сопоставляет пары Домен \ Имя пользователя с локальными UID, при миграции учетных записей через границы домена они будут отображаться в Samba как новые пользователи. Это связано с тем, что их SID изменяется при пересечении границы домена. Однако эта модель допускает междоменное использование через доверие.
Если они используют серверную часть RID, сервер Samba НЕ сможет разрешить доступ пользователям в разных доменах. Если это так, вы, вероятно, уже знаете об этом. Когда пользователи покидают домен, в котором существует сервер Samba, они теряют к нему доступ.
Если они используют сервер LDAP как способ совместного использования сопоставлений имени пользователя / UID на нескольких серверах Samba, применяются те же ограничения, что и для внутреннего интерфейса по умолчанию. Однако каждый сервер Samba будет иметь одинаковое сопоставление имени пользователя и идентификатора UID. Положительным моментом является то, что вы можете напрямую редактировать сервер LDAP после миграции в новый домен, чтобы гарантировать сохранение того же сопоставления имени пользователя / UID.
Последний вариант, пожалуй, лучший вариант для поддержания совместимости во время поэтапной миграции. Однако, если они еще не используют сервер LDAP в качестве центрального репозитория, это будет намного сложнее.