Sincronize o UID / GID no SLES 12.1 com o winbind conectado ao AD

1

Eu tenho vários servidores SLES 12.1 que eu entrei no domínio do AD via net ads join -u <OU_MANAGER> osName='SLES' osVer='12.1' createcomputer="<OU1>/<OU2>/Servers . É importante observar que eu só tenho uma conta de gerente de unidade organizacional para OU2 e não gerencio o próprio AD. A junção é concluída com sucesso, mas há o típico DNS_GSS_ERROR , que não posso corrigir, de acordo com a Solução de problemas você precisa ser o administrador do AD. No entanto, entrei no domínio e ao ativar a opção para permitir login para usuários do domínio por meio do YaST (de alguma forma, isso não funciona quando eu faço as configurações de nsswitch.conf, pam e sshd) Eu posso fazer logon com os usuários do domínio.

O problema é que eu quero sincronizar o UID / GID dos usuários, já que eles executam aplicativos Java descentralizados e são dependentes disso.

Meu atual /etc/samba/smb.conf é o seguinte:

[global]
    workgroup = XXXX
    realm = XXXX.YYYY.NET

    security = ADS
    kerberos method = secrets and keytab

    template homedir = /home/%D/%U
    template shell = /bin/bash

    winbind refresh tickets = yes
    idmap gid = 19500-19999
    idmap uid = 19500-19999
    usershare allow guests = No
    winbind offline logon = yes

Quando agora tento alterar o idmap para o seguinte

[global]
    workgroup = XXXX
    realm = XXXX.YYYY.NET

    security = ADS
    kerberos method = secrets and keytab

    template homedir = /home/%D/%U
    template shell = /bin/bash

    winbind refresh tickets = yes
    #idmap gid = 19500-19999
    #idmap uid = 19500-19999
    idmap config * : backend = tdb
    idmap config * : range = 1000-5000
    idmap config XXXX : backend = rid
    idmap config XXXX : range = 19500-19999
    usershare allow guests = No
    winbind offline logon = yes

e, em seguida, execute smbcontrol all reload-config seguido por systemctl restart smb winbind Não consigo mais fazer logon com usuários do domínio. Eu recebo o seguinte erro:

Kinit for <Servername>[email protected] to access cifs/<domain controller>[email protected] failed: Preauthentication failed

Mas eu posso usar net ads kerberos kinit -u <OU Manager> e kinit -u <OU Manager> , então não vejo o problema?

Tem mais alguma outra ideia ou estou faltando alguma coisa? A culpa é dos AD Admins ou do meu?

    
por Milchdealer 01.03.2017 / 10:39

0 respostas