Atribuição de UID e GID do Active Directory

O mapeamento do AD no SSSD é determinado usando um algoritmo (provavelmente uma função hash) no próprio daemon: porque ele é interno, se você mantiver os padrões iguais, cada computador usando o SSSD deve mapear os IDs para o mesmo valor, independentemente do computador que está sendo usado. Aqui está a explicação da Red Hat para o mapeamento do AD:

SSSD can use the SID of an AD user to algorithmically generate POSIX IDs in a process called ID mapping. ID mapping creates a map between SIDs in AD and IDs on Linux.

• When SSSD detects a new AD domain, it assigns a range of available IDs to the new domain. Therefore, each AD domain has the same ID range on every SSSD client machine.

• When an AD user logs in to an SSSD client machine for the first time, SSSD creates an entry for the user in the SSSD cache, including a UID based on the user's SID and the ID range for that domain.

• Because the IDs for an AD user are generated in a consistent way from the same SID, the user has the same UID and GID when logging in to any Red Hat Enterprise Linux system.

Você pode definir os valores mínimos e máximos de ID usando min_id e max_id no [domínio / nome ] seção de sssd.conf. Procure em "Seções de domínio" para a descrição; "Exemplos" tem um exemplo de uso:

[sssd]
domains = LDAP
services = nss, pam
config_file_version = 2

[nss]
filter_groups = root
filter_users = root

[pam]

[domain/LDAP]
id_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com

auth_provider = krb5
krb5_server = kerberos.example.com
krb5_realm = EXAMPLE.COM
cache_credentials = true

min_id = 10000
max_id = 20000
enumerate = False

Se você substituir esses valores, certifique-se de definir os mesmos mapeamentos em qualquer outro sistema usando esse domínio no SSSD se quiser manter mapeamentos consistentes!