Não é possível obter o idmap_ad para funcionar com o Ubuntu 12.04 e o Samba 4

1

Estou tentando obter o mapeamento uid e gid que configurei no diretório ativo para copiar de lá para as minhas caixas do Ubuntu já existentes que estou adicionando a um Controlador de Domínio do Windows 2008. Estamos tentando juntar todas as máquinas e, como as máquinas já possuem esses mapeamentos, o OpenLDAP é muito importante. Eu estou usando o Samba4, Winbind, Ubuntu 12.04.

smb.conf:

[global]
security = ads
realm = DOMAIN.NET
password server = dc01.domain.net
workgroup = DOMAIN
#idmap uid = 1000-99999
#idmap gid = 1000-99999
idmap config *:backend = tdb
idmap config *:range = 70001-80000
idmap config DOMAIN:backend = ad
idmap config DOMAIN:range = 500-40000
winbind nss info = rfc2307
winbind separator = +
winbind enum users = no
winbind enum groups = no
winbind use default domain = yes
template homedir = /home/%U
template shell = /bin/bash
client use spnego = yes
domain master = no

krb5.conf:

[logging]
    default = FILE:/var/log/krb5.log
[libdefaults]
    allow_weak_crypto = true
    ticket_lifetime = 24000
    default_realm = DOMAIN.NET
    default_tkt_enctypes = rc4-hmac
    default_tgs_enctypes = rc4-hmac
[realms]
    DOMAIN.NET = {
        kdc = DC01.DOMAIN.NET
        admin_server = DC01.DOMAIN.NET
        default_domain = DOMAIN
}
[domain_realm]
    .domain.net = DOMAIN.NET
    domain.net = DOMAIN.NET

nsswitch.conf

# pre_auth-client-config # passwd:         compat
passwd: compat winbind
# pre_auth-client-config # group:          compat
group: compat winbind
# pre_auth-client-config # shadow:         compat
shadow: compat winbind

hosts:          files dns wins
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

# pre_auth-client-config # netgroup:       nis
netgroup: nis

Quando eu adiciono a configuração do idmap DOMAIN: backend = linhas de anúncio, não consigo fazer ssh na máquina com uma conta de domínio, apenas local. Se eu comentar essas linhas, posso SSH com contas de domínio e grupos são lidos. Ambas as configurações permitem-me obter retornos de wbinfo, em ambos os getent apenas retorna accts locais também. Eu estou além de perplexo.

    
por Kevin 24.12.2013 / 04:47

1 resposta

2

Os atributos Unix precisam ser definidos no grupo Usuários do Domínio para que os usuários do AD sejam incluídos. Então, qualquer pessoa com os campos Unix definidos pode ser consultada.

    
por 27.12.2013 / 22:33