Obrigado por toda a ajuda, pessoal! Encontrei a resposta neste link, o melhor post de resposta: link
O PBIS não precisou ingressar no domínio ou ter autenticação, funcionou sem ele.
Eu tenho um servidor Ubuntu existente. Os usuários já fazem login com credenciais do AD. O problema é que há um compartilhamento de arquivos montado - em um ambiente Windows, os usuários só têm acesso a pastas para as quais têm permissão. No servidor Ubuntu, a pasta é acessada com uma conta genérica compartilhada, as credenciais para isso são armazenadas em um arquivo oculto em / etc / smbmounts. Eu tenho a tarefa de fazer com que as pastas sejam acessadas com as mesmas credenciais do AD que o usuário usou para fazer login no computador, em primeiro lugar. Esse é um resumo do problema, os detalhes abaixo:
Aqui está a configuração:
/etc/krb5.conf tem esta aparência:
[libdefaults]
default_realm = DOMAIN.NAME
ticket_lifetime = 24h #
renew_lifetime = 7d
/etc/samba/smb.conf tem esta aparência:
[global]
workgroup = DOMAIN
client signing = yes
client use spnego = yes
kerberos method = secrets and keytab
realm = DOMAIN.NAME
security = ads
server signing = mandatory
/etc/sssd/sssd.conf:
[sssd]
domains = DOMAIN.name
config_file_version = 2
services = nss, pam
debug_level = 5
[domain/DOMAIN.name]
ad_domain = DOMAIN.name
krb5_realm = DOMAIN.NAME
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/domain/%u
#access_provider = ad
#ad_access_filter = (memberOf=cn=Linux Login Allowed,ou=Domain Groups,dc=Domain,dc=local
access_provider = simple
simple_allow_users = administrator
simple_allow_groups = Domain Admins, Linux Login Allowed
enumerate = true
Para permissões sssd:
sudo chown root:root /etc/sssd/sssd.conf
sudo chmod 600 /etc/sssd/sssd.conf
Junte-se ao domínio:
sudo kinit [insert domain admin username here]
sudo klist
sudo net ads join –k
Estamos usando o PAM para a montagem de pastas do Windows:
<debug enable="0" />
<!-- Volume definitions -->
<volume sgrp="Linux Login Allowed" fstype="cifs" server="fileshare" path="files/userdata/%(USER)/Documents/linux_home" mountpoint="/home/DOMAIN/%(USER)" options="dir_mode=0700,sec=ntlm"/>
<!-- pam_mount parameters: General tunables -->
<logout wait="5000" hup="1" term="2" kill="3" />
/ etc / fstab:
//fileshare/folder /folder cifs credentials=/etc/smbmounts/.folder,gid=1003,iocharset=utf8,file_mode=0770,dir_mode=0770,sec=ntlm 0 0
Eu incluí tudo o que eu poderia pensar em pertencer a essa configuração para divulgação completa, mas, para deixar claro, o problema não está na montagem da pasta inicial do PAM. É com o fstab - que // fileshare / pasta é a pasta compartilhada com permissões NTFS que está me irritando.
Acho que seria preferível se eu não alterasse muito a configuração existente para as permissões de pasta.
Idealmente, gostaria de alterar o fstab para procurar credenciais da configuração inicial do Samba / SSSD / Kerberos para autenticação e login do AD, em vez do arquivo smbmounts que contém um nome de usuário / senha compartilhada. Se possível, um único sinal. Pode ser tão simples e, em caso afirmativo, que mudança precisa ser feita?
Agradeço qualquer ajuda, ainda relativamente nova no Linux em geral.
Avise-me se mais informações precisarem ser adicionadas / removidas para tornar esse tópico mais conciso.