Os atributos Unix precisam ser definidos no grupo Usuários do Domínio para que os usuários do AD sejam incluídos. Então, qualquer pessoa com os campos Unix definidos pode ser consultada.
Estou tentando obter o mapeamento uid e gid que configurei no diretório ativo para copiar de lá para as minhas caixas do Ubuntu já existentes que estou adicionando a um Controlador de Domínio do Windows 2008. Estamos tentando juntar todas as máquinas e, como as máquinas já possuem esses mapeamentos, o OpenLDAP é muito importante. Eu estou usando o Samba4, Winbind, Ubuntu 12.04.
smb.conf:
[global]
security = ads
realm = DOMAIN.NET
password server = dc01.domain.net
workgroup = DOMAIN
#idmap uid = 1000-99999
#idmap gid = 1000-99999
idmap config *:backend = tdb
idmap config *:range = 70001-80000
idmap config DOMAIN:backend = ad
idmap config DOMAIN:range = 500-40000
winbind nss info = rfc2307
winbind separator = +
winbind enum users = no
winbind enum groups = no
winbind use default domain = yes
template homedir = /home/%U
template shell = /bin/bash
client use spnego = yes
domain master = no
krb5.conf:
[logging]
default = FILE:/var/log/krb5.log
[libdefaults]
allow_weak_crypto = true
ticket_lifetime = 24000
default_realm = DOMAIN.NET
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
[realms]
DOMAIN.NET = {
kdc = DC01.DOMAIN.NET
admin_server = DC01.DOMAIN.NET
default_domain = DOMAIN
}
[domain_realm]
.domain.net = DOMAIN.NET
domain.net = DOMAIN.NET
nsswitch.conf
# pre_auth-client-config # passwd: compat
passwd: compat winbind
# pre_auth-client-config # group: compat
group: compat winbind
# pre_auth-client-config # shadow: compat
shadow: compat winbind
hosts: files dns wins
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
# pre_auth-client-config # netgroup: nis
netgroup: nis
Quando eu adiciono a configuração do idmap DOMAIN: backend = linhas de anúncio, não consigo fazer ssh na máquina com uma conta de domínio, apenas local. Se eu comentar essas linhas, posso SSH com contas de domínio e grupos são lidos. Ambas as configurações permitem-me obter retornos de wbinfo, em ambos os getent apenas retorna accts locais também. Eu estou além de perplexo.
Tags samba active-directory