Eu tenho vários servidores SLES 12.1 que eu entrei no domínio do AD via net ads join -u <OU_MANAGER> osName='SLES' osVer='12.1' createcomputer="<OU1>/<OU2>/Servers
. É importante observar que eu só tenho uma conta de gerente de unidade organizacional para OU2 e não gerencio o próprio AD.
A junção é concluída com sucesso, mas há o típico DNS_GSS_ERROR
, que não posso corrigir, de acordo com a Solução de problemas você precisa ser o administrador do AD.
No entanto, entrei no domínio e ao ativar a opção para permitir login para usuários do domínio por meio do YaST (de alguma forma, isso não funciona quando eu faço as configurações de nsswitch.conf, pam e sshd) Eu posso fazer logon com os usuários do domínio.
O problema é que eu quero sincronizar o UID / GID dos usuários, já que eles executam aplicativos Java descentralizados e são dependentes disso.
Meu atual /etc/samba/smb.conf
é o seguinte:
[global]
workgroup = XXXX
realm = XXXX.YYYY.NET
security = ADS
kerberos method = secrets and keytab
template homedir = /home/%D/%U
template shell = /bin/bash
winbind refresh tickets = yes
idmap gid = 19500-19999
idmap uid = 19500-19999
usershare allow guests = No
winbind offline logon = yes
Quando agora tento alterar o idmap para o seguinte
[global]
workgroup = XXXX
realm = XXXX.YYYY.NET
security = ADS
kerberos method = secrets and keytab
template homedir = /home/%D/%U
template shell = /bin/bash
winbind refresh tickets = yes
#idmap gid = 19500-19999
#idmap uid = 19500-19999
idmap config * : backend = tdb
idmap config * : range = 1000-5000
idmap config XXXX : backend = rid
idmap config XXXX : range = 19500-19999
usershare allow guests = No
winbind offline logon = yes
e, em seguida, execute smbcontrol all reload-config
seguido por systemctl restart smb winbind
Não consigo mais fazer logon com usuários do domínio.
Eu recebo o seguinte erro:
Kinit for <Servername>[email protected] to access cifs/<domain controller>[email protected] failed: Preauthentication failed
Mas eu posso usar net ads kerberos kinit -u <OU Manager>
e kinit -u <OU Manager>
, então não vejo o problema?
Tem mais alguma outra ideia ou estou faltando alguma coisa? A culpa é dos AD Admins ou do meu?
Tags samba active-directory sles