Tentando configurar um servidor linux para autenticar usuários no diretório ativo corporativo, estamos enfrentando um problema. Estamos usando SAMBA, winbind, krb5 e PAM.
O problema surge ao tentar listar usuários do sistema. O winbind tenta procurá-los em todos os domínios confiáveis dos ramos da empresa. Como eles não podem ser acessados pelo servidor linux, temos um tempo limite.
Como podemos dizer ao samba ou ao winbind para procurar apenas usuários no domínio pai e evitar o resto?
Queremos usuários de company.com , mas não de branch1.comapny.com .
EDITAR:
A versão do SAMBA é 3.0.33 no RH4.
Parece que esta funcionalidade regrediu do Samba antes de 3.0.26 . Um patch foi proposto e foi redere-se ao Samba 3.3 .
Se você estiver preparado para corrigir o código-fonte do Samba, existe um "somente domínios "patch , que é o inverso de" ignorar domínios ".
Você pode adicionar esta opção ao smb.conf:
allow trusted domains = no
Na verdade, eu tenho essa configuração na minha estação de trabalho Ubuntu no escritório para que eu não precise usar o Windows, mas ainda assim autenticar os domínios do AD. Temos vários domínios confiáveis, por isso limitei-os ao domínio principal do AD usado para logins de estações de trabalho. Acredito que encontrei todas as entradas relevantes, por isso, se tiver algum problema, avise-me e procurarei outras pessoas que possam estar dispersas na configuração.
idmap uid = 2000-50000000
idmap gid = 2000-50000000
idmap backend = rid:DOMAIN=2000-50000000
template shell = /bin/bash
template homedir = /home/%D/%U
winbind use default domain = yes
allow trusted domains = No
password server = FQDN-of-AD-Server
use kerberos keytab = true
Em outras palavras, eu tive que ter certeza de que o Samba e o Winbind estavam quase no final para poder autenticar depois que o sistema foi reinicializado.