Estou tentando fazer com que isso funcione de maneira confiável por algum tempo. Aqui está o colapso:
O Centos 7 com autenticação SSSD para o Active Directory (totalmente funcional) aqui é o arquivo sssd.conf:
[sssd]
domains = example
config_file_version = 2
services = nss, pam
[domain/example]
realmd_tags = manages-system joined-with-samba
enumerate = false
cache_credentials = false
id_provider = ldap
auth_provider = ldap
ldap_schema = ad
ldap_uri = ldaps://example.edu
ldap_search_base = dc=example,dc=edu
ldap_default_bind_dn = CN=useraccount, OU=people, DC=example,Dc=edu
ldap_default_authtok_type = password
ldap_default_authtok =
ldap_user_search_base = ou=People,ou=example,dc=edu
ldap_user_name = sAMAccountName
ldap_user_object_class = person
ldap_user_member_of = memberOf
ldap_user_uid_number = uidnumber
ldap_user_gid_number = gidnumber
ldap_user_fullname = displayName
ldap_group_search_base =dc=example,dc=edu
ldap_group_object_class = group
ldap_group_name = sAMAccountName
tls_reqcert = demand
ldap_tls_cacert = /etc/pki/tls/certs/ca-bundle.crt
override_homedir = /home/%u
Com isso, posso fazer login com credenciais de anúncios e ver UID / GIDs na árvore do AD.
O problema surge quando eu tento integrar compartilhamentos de samba que também auth contra sssd / pam que parece não funcionar corretamente.
aqui é pelo arquivo smb.conf básico:
[global]
workgroup = EXAMPLE
server string = Samba Server Version %v
log file = /var/log/samba/log.%m
log level = 7
max log size = 50
security = ads
encrypt passwords = yes
passdb backend = tdbsam
realm = example.edu
vfs objects = acl_xattr
map acl inherit = Yes
store dos attributes = Yes
load printers = no
cups options = raw
printcap name = /dev/null
[myshare]
comment = My shared folder
path = /var/myshare
public = no
writable = yes
guest ok = no
write list = testuser
read list = @"testgroup"
Ultimamente eu sinto que estou sentindo falta de algo simples aqui, ou talvez não seja possível. Eu configurei a pasta perms para 0770 root: testgroup. Por fim, gostaria que os usuários do Windows que estão se conectando pudessem editar as permissões por meio do NTFS, se possível.
A razão pela qual eu estou usando sssd em vez de winbind para isso é que eu preciso dos UID / GIDs para puxar do AD (para montagens nfs e tal) e nunca pareceu estar 100% correto 100% do tempo.
Qualquer ajuda sobre isso seria muito apreciada!