Samba / Winbind: adicionando usuários de domínio a grupos locais com base no grupo de domínio

Navegue suas respostas
2

Eu tenho um servidor Redhat ES 6 que ingressou com sucesso em um domínio através do Winbind (por exemplo, eu consigo acessar o servidor Redhat usando credenciais de domínio sem problemas).

O que eu pretendo fazer neste ponto é configurar o Winbind para adicionar usuários automaticamente a um grupo local com base em seu grupo de domínio. Por exemplo, digamos que meu nome de usuário no domínio seja "DOMAIN \ coledot" e eu seja membro do grupo de domínio "Grupo arbitrário". No meu arquivo / etc / group na máquina Redhat, eu tenho o grupo local "testgrp" definido: 

testgrp:x:10506:

Se meu entendimento da documentação do grupo de trabalho do Samba / Winbind estiver correto, Eu deveria ser capaz de mapear o grupo local "testgrp" para o grupo de domínio "Grupo Arbitrário" usando o comando net groupmap : 

net groupmap add ntgroup="Arbitrary Group" unixgroup=testgrp type=d

A execução de net groupmap list confirma que o mapeamento foi criado: 

root@host # net groupmap list  
[...]  
Arbitrary Group (S-x-x-xx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxx-xxxx) -> testgrp

No entanto, quando eu executo o comando groups , mesmo que meu usuário apareça como parte do grupo "Grupo Arbitrário", "testgrp" não é encontrado em lugar nenhum.

Minha pergunta é dupla:
1) Meu entendimento de net groupmap está correto?
2) Como posso realizar minha tarefa original (mapear o usuário do domínio para o grupo local via grupo de domínio)?

    
por coledot 08.02.2013 / 16:30

2 respostas

2

Eu acredito que você pode fazer isso no arquivo /etc/samba/smb.conf. Se as permissões locais do Linux estiverem corretas, você poderá usar a sequência "force group" para garantir a conexão com a associação de grupo correta. O que tende a afastar as pessoas é que o usuário já pode ser um membro do grupo Linux local, mas no que diz respeito ao SMB, o grupo que você 'conecta como' do Windows é o que importa aqui. 

EXAMPLE:
[someshares]
        path=/path/to/someshares
        writable = yes
        browsable = yes
        valid users = @somegroup
        create mask = 0775
        force create mode = 0775
        directory mask = 0775
        force group = somegroup
    
por 22.09.2014 / 22:10
1

AFAIK esse mapeamento de grupos SMB para grupos do Linux é feito apenas no controlador de domínio. Servidores membros fazem isso automaticamente (seja globalmente pelo LDAP ou localmente diferente pelo idmap).

Eu apenas tentei adicionar um usuário winbind a um grupo local via usermod. Isso falhou. Talvez o usuário seja gerenciado completamente por arquivos ou completamente pelo winbind (referindo-se ao nsswitch.conf) mas não pelos dois simultaneamente.

Se isso funcionar, você poderá obter os membros do grupo por meio de "grupo getent" e adicioná-los a um grupo local. Isso pode ser feito regularmente (se você não tiver acesso ao DC) e deixaria apenas o tempo entre a criação da conta no DC e o primeiro acesso ao servidor membro (se esse acesso for anterior à próxima verificação regular) problemático.

    
por 08.02.2013 / 22:26

Tags

remove biblioteca compartilhada do sshd [duplicado] X-Forwarded-Por não aparecer no log de acesso do tomcat7