LINUX.ORG.RU
решено ФорумAdmin

опять чудеса с winbind

 ,


0

1

Доброго времени суток. Уже писал по поводу кэширования в винбинде (тут). Это, конечно, тоже не гуд, но жить было можно. После обновления на абсолютно одинаковых серверах (разве что один физический, а другой под ксеном) отвалился винбинд, но по-разному. На одном через wbinfo все прекрасно видно, ntlm_auth тоже отрабатывает, а в nss только локальные учетки. На втором сервере нет даже этого. Домен рабочий, проверено. Библиотеки libnss-winbind (а также для pam) установлены, даже на всякий случай прописал линки в /lib, в nsswitch.conf все прописано. Перерыл все, до чего дотянулся, ни намека на такую ситуацию. Либо где-то должен быть полный правильный годный мануал, либо winbind дико глючная штука. Ну или я опять чего-то не понял.

Вспомнил про поддержку юниксовых id в домене. Не является ли nis полнофункциональной заменой winbind'у?

а в nss только локальные учетки

В смысле в ″id″?

Весь опенсорц глючная штука, а доменные пользователи чужды юниксам, там SID, а тут id, кроме того, в домене есть учётка машины и есть учётка пользователя и ответ контроллера этим учёткам может быть разный.

Не является ли nis полнофункциональной заменой winbind'у?

У nis свои протоклы, он не будет обращаться к AD контроллеру, или у вас AD только ради списка пользователей и групп?

mky ★★★★★
()
Ответ на: комментарий от mky

В смысле в ″id″?

Имеется ввиду rfc2307 в ихнем SFU. Так я и не понял, что конкретно делает winbind. Судя по родным мануалам поддержка доменных UID и GID должна осуществляться через winbind посредством включения

idmap config DOM:backend = ad
с чем winbind меня радостно отправляет на болт (не исключаю, что правильно). Забил я на него, в общем. Настроил через LDAP. NSS и PAM работают на ура, samba ресолвит UID, но не видит теперь групп. getent и id отображают все, что задано в ADS. По непонятной мне причине samba не хочет заполнять ou=Idmap.

Дамп smb.conf на всякий

[global]
        workgroup = DOM
        realm = DOM.LOCAL
        server string = %h server (Samba, Ubuntu)
        server role = member server
        security = ADS
        auth methods = winbind
        map to guest = Bad User
        obey pam restrictions = Yes
        pam password change = Yes
        passwd program = /usr/bin/passwd %u
        passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
        unix password sync = Yes
        syslog = 0
        log file = /var/log/samba/log.%m
        max log size = 1000
        dns proxy = No
        ldap admin dn = cn=unixldap,cn=Users,dc=dom,dc=local
        ldap group suffix = ou=Groups
        ldap idmap suffix = ou=Idmap
        ldap machine suffix = ou=Computers
        ldap suffix = dc=dkit,dc=local
        ldap ssl = no
        ldap user suffix = ou=umkusers
        usershare allow guests = Yes
        panic action = /usr/share/samba/panic-action %d
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind nss info = rfc2307
        idmap config *:range = 12000-20000
        idmap config *:schema_mode = sfu
        idmap config DOM:default = yes
        idmap config DOM:backend = ad
        idmap config * : backend = ldap:ldap://dc1.dom.local:389
        inherit permissions = Yes
        inherit acls = Yes
        map acl inherit = Yes
        locking = No

Я так понимаю, она все равно пытается ресолвить через winbind а не ldap.

ger0strat
() автор топика
Ответ на: комментарий от ger0strat

У nis свои протоклы, он не будет обращаться к AD контроллеру, или у вас AD только ради списка пользователей и групп?

Почти. Сеть гетерогенная, так что это единственный выход, который я нашел.

ger0strat
() автор топика

Исходники ставят жирную точку, winbind сам есть ldap-клиент. Что-то сбойнуло видимо в схеме на ADS. Буду сравнисать rfc2307 из исходника с базой.

ger0strat
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.