Evite a procura de usuários nos domínios confiáveis do diretório ativo do samba

1

Tentando configurar um servidor linux para autenticar usuários no diretório ativo corporativo, estamos enfrentando um problema. Estamos usando SAMBA, winbind, krb5 e PAM.

O problema surge ao tentar listar usuários do sistema. O winbind tenta procurá-los em todos os domínios confiáveis dos ramos da empresa. Como eles não podem ser acessados pelo servidor linux, temos um tempo limite.

Como podemos dizer ao samba ou ao winbind para procurar apenas usuários no domínio pai e evitar o resto?

Queremos usuários de company.com , mas não de branch1.comapny.com .

EDITAR:

A versão do SAMBA é 3.0.33 no RH4.

    
por chmeee 03.07.2009 / 12:19

3 respostas

2

Parece que esta funcionalidade regrediu do Samba antes de 3.0.26 . Um patch foi proposto e foi redere-se ao Samba 3.3 .

Se você estiver preparado para corrigir o código-fonte do Samba, existe um "somente domínios "patch , que é o inverso de" ignorar domínios ".

    
por 03.07.2009 / 15:03
0

Você pode adicionar esta opção ao smb.conf:

allow trusted domains = no
    
por 03.07.2009 / 12:49
0

Na verdade, eu tenho essa configuração na minha estação de trabalho Ubuntu no escritório para que eu não precise usar o Windows, mas ainda assim autenticar os domínios do AD. Temos vários domínios confiáveis, por isso limitei-os ao domínio principal do AD usado para logins de estações de trabalho. Acredito que encontrei todas as entradas relevantes, por isso, se tiver algum problema, avise-me e procurarei outras pessoas que possam estar dispersas na configuração.

    idmap uid = 2000-50000000
    idmap gid = 2000-50000000
    idmap backend = rid:DOMAIN=2000-50000000
    template shell = /bin/bash
    template homedir = /home/%D/%U
    winbind use default domain = yes
    allow trusted domains = No
    password server = FQDN-of-AD-Server
    use kerberos keytab = true

Em outras palavras, eu tive que ter certeza de que o Samba e o Winbind estavam quase no final para poder autenticar depois que o sistema foi reinicializado.

    
por 03.07.2009 / 17:28