winbind separador e comportamento do nome do grupo no grupo getent, mudando constantemente

Navegue suas respostas
1

Eu tenho um problema que ocasionalmente aprova e desaparece, e isso me deixa louca.

Meus servidores Debian são autenticados contra o AD e somente o membro do grupo "linuxadmins" pode usar SSH para o servidor e "sudo su".

O login SSH funciona, sem problemas, mas os usuários estão recebendo erros "o usuário xyz não está em sudoers" enquanto usa o sudo

meu / etc / sudoers contém o nome do grupo AD 

%linuxadmins ALL =(ALL) ALL

E samba conf 

#GLOBAL PARAMETERS
[global]
   workgroup = RKAS
   realm = RKAS.RK
   preferred master = no
   server string = SEP DEV Server
   security = ADS
   encrypt passwords = true
   log level = 3
   log file = /var/log/samba/%m
   max log size = 50
   printcap name = cups
   printing = cups
   winbind enum users = Yes
   winbind enum groups = Yes
   winbind use default domain = Yes
   winbind nested groups = Yes
   #winbind separator = +
   #idmap uid = 600-20000
   #idmap gid = 600-20000
   ;template primary group = "Domain Users"
   template shell = /bin/bash
   template homedir = /home/%D/%U
   winbind offline logon = yes
   winbind refresh tickets = yes

O problema está no separador do grupo que o samba manipula. 

getent group | grep linuxadmins

retorna dois resultados diferentes em alguns minutos 

linuxadmins:x:784:xyz

ou 

\linuxadmins:x:784:xyz

Os usuários só podem usar o sudo se não houver nenhum sinal de basquete.

O que há de errado? Não consigo entender por que constantemente adicionando barra invertida e removendo-a nos nomes dos grupos?

conta comum: 

account [success=2 new_authtok_reqd=done default=ignore]        pam_unix.so
account [success=1 new_authtok_reqd=done default=ignore]        pam_winbind.so
account required                        pam_permit.so

common-auth: 

auth    [success=2 default=ignore]      pam_unix.so nullok_secure
auth    [success=1 default=ignore]      pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login require_membership_of=linuxadmins try_first_pass
auth    required                        pam_permit.so

e nenhum sistema comum, somente sessão 

session     required    pam_mkhomedir.so umask=0022 skel=/etc/skel

Devo acrescentar que esse comportamento está acontecendo em todos os servidores linux

    
por user1492810 04.07.2013 / 10:26

1 resposta

0

Certo, então na verdade o intervalo de idmap uid está obsoleto, mas foi substituído por: 

idmap backend = ad
idmap config *:backend = ad
idmap config *:range = 10000-20000

Veja, o que eu acho que está acontecendo .. É que o samba (e módulos associados) não sabe como atribuir o id / uid correto a um usuário.

Eu colocaria essas 3 linhas em /etc/samba/smb.conf , Limpe os arquivos de cache do samba (todos são recriados) rm -rf /var/lib/samba/* Reinicie todos os serviços de samba, winbindd , smbd , nmbd e, em seguida, experimente wbinfo -u , wbinfo -g , wbinfo -i $id

Você também desejará certificar-se de que todos os usuários e grupos tenham uidNumbers e gidNumbers (Centro Administrativo do Active Directory, clique com o botão direito do mouse em um usuário, abra as propriedades, localize o Editor de Atributos, defina uidnumber e gidnumber se ainda não estiverem conjunto).

Você também precisa ter um gidNumber para grupos na árvore, incluindo Usuários do Domínio.

    
por 04.07.2013 / 11:17

Tags

proxy para o site de terceiros SSL e o URL de mascaramento O IP do servidor de nomes DNS continua sendo revertido para o desconhecido para a zona de pesquisa direta