CentOS 6 Não é possível resolver uma conta do AD

1

Eu tenho um problema que me fez girar em círculos.

Temos 14 servidores integrados Centos 6 AD usando o Samba / Winbind com idmap_ad (segurança = anúncios, idmap backend = ad), esta configuração está funcionando perfeitamente em 13 deles.

Problema

O problema está em um servidor e um usuário. Na caixa do problema, você simplesmente não consegue resolver um usuário em particular. Este usuário resolve de todos os outros servidores.

Resultados ao tentar resolver um problema no servidor:

# id username
id: username: No such user

# wbinfo -i username
Could not get info for user username

Resultados ao tentar resolver um bom servidor:

# id username
uid=12830(username) gid=100(users) groups=100(users)

# wbinfo -i username
username:*:12830:100:User Name:/home/username:/bin/bash

Tentativas de resolução

Parei o winbind e o smb e limpei o cache do winbind (winbindd_cache.tdb & winbindd_cidmap.tdb) que foi iniciado novamente - sem alegria

Eu comecei a winbind com -n para realizar pesquisas diretas - sem alegria

Infelizmente, este é um servidor de produção, por isso não posso ser muito drástico com ele e não consigo replicar o problema em nenhum outro servidor, incluindo um servidor de teste que eu construí usando as mesmas configurações.

Estou bastante convencido de que não é winbind após o teste acima, mas não sei por que o usuário não resolve.

Posso executar wbinfo -n e obter o SID dos usuários, em seguida, executar net cache list |grep thesid e ver:

Legenda: IDMAP / SID2UID / S-1-5-21-746745685-249376194-4547331-1137 Tempo limite: ter Apr 2 17:30:32 2013 Valor: 1283 0 Legenda: IDMAP / UID2SID / 12830 Tempo Limite: Ter Abr 2 17:30:32 2013 Valor: S-1-5-21-746745685-249376194-4547331 -1137

Isso mostra o UID correto (12930) para que o servidor possa encontrá-lo no AD e extrair seus Atributos Unix.

Eu posso executar net lookup sid S-1-etc e ele retorna com sucesso como DOMAIN\username

Eu tentei net cache flush e reiniciei o smb e o winbind, isso também não foi corrigido.

Ainda não consigo id o usuário nem wbinfo -i e, portanto, o usuário não pode fazer login nem acessar os compartilhamentos do samba porque o servidor não pode resolvê-los.

O mais irritante é que todos os outros usuários trabalhem incluindo os recém-criados!

...

Alguém pode ajudar? Estou preso!

...

Os detalhes básicos são:

  • Controladores de domínio = Server 2008R2 em execução no 2003 FFL e DFL e MSSFU
  • Servidores Linux = CentOS 6.1 Samba version = 3.5.10-125.el6
  • Versão do Winbind = 3.5.10-125.el6

Este servidor executa a mesma configuração que os outros do site e eles funcionam perfeitamente, então eu sei que eles não são o problema. É como se o servidor simplesmente não gostasse do SID do usuário ou algo semelhante e não o procurasse pelos métodos padrão.

Deixe-me saber se você precisar de mais informações.

Obrigado

    
por malco 27.03.2013 / 10:55

1 resposta

1

Agora resolvido, isso funcionou para mim:

Limpe todos os caches do Winbind e o cache do Net liberado, lembre-se de fazer um backup antes de excluir qualquer coisa!

Pare os serviços do Winbind e do Samba:

service winbind stop
service smb stop

Limpe o cache do Samba Net:

net cache flush

Exclua os caches do Winbind:

rm –f /var/lib/samba/*.tdb
rm –f /var/lib/samba/group_mapping.ldb

Inicie os serviços Samba e Winbind - Nota: o pedido é importante

service smb start
service winbind start

Teste-o tentando resolver um usuário.

    
por 07.05.2013 / 18:01