LINUX.ORG.RU
ФорумAdmin

опять samba ad, опять winbind, опять idmap

 , ,


0

2

Уже поднимал темы с этим вопросом, однако остались непонятные моменты.
Есть участок сети с ADS на самбе с поддержкой rfc2307, файлсервером на самбе. Виндовые компы в домен входят, нареканий нет. Пользователи создаются, uid устанавливаются. После некоторых мытарств начал отрабатывать wbinfo (-t и -a заработали под рутом, до чего не сразу дотупил).
Опытным путём и по логам вычислил, что без явного указания домена в idmap:

idmap config DOMAIN : ...
и указания диапозона для дефолта:
idmap config * : range = min-max
счастья не будет.
При попытке прицепить backend = ad отваливаются в getent group все доменные группы. Притом getent passwd работает полностью, включая uid и gid. Та же история с id DOMAIN\\user. Членство в группах корректно.
И nis-группы в AD прописаны, и обычные виндовые группы (судя мо материалам с оф. сайта winbind отрабатывает именно по ним). schema_mode пробовал все три варианта.
В общем объяснения не нашел. Самба права на ресурсы резолвить отказалась. Забил.

Плюясь и матерясь решил пересесть на idmap_rid и оно внезапно завелось! Но опять не без косяка. В getent group не указывается связка группа-пользователь, если группа у него основная. Расследование показало отсутствие такой связки в LDAP на контроллере, только указан id основной группы. Судя по тому, что на виндах проблем нет, это таки не баг, а фича.
Можно, конечно, создать группу для дефолта, а в файл-сервере её задавить через force group (права и так по acl), но имхо костыль.
Пока работает, но в чем дело знать хотелось бы. Может кто сталкивался?

Рекомендую sssd и idmap backend nss.

Lindows
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.