Уже поднимал темы с этим вопросом, однако остались непонятные моменты.
Есть участок сети с ADS на самбе с поддержкой rfc2307, файлсервером на самбе. Виндовые компы в домен входят, нареканий нет. Пользователи создаются, uid устанавливаются. После некоторых мытарств начал отрабатывать wbinfo (-t и -a заработали под рутом, до чего не сразу дотупил).
Опытным путём и по логам вычислил, что без явного указания домена в idmap:
idmap config DOMAIN : ...
idmap config * : range = min-max
При попытке прицепить backend = ad отваливаются в getent group все доменные группы. Притом getent passwd работает полностью, включая uid и gid. Та же история с
id DOMAIN\\user
. Членство в группах корректно.И nis-группы в AD прописаны, и обычные виндовые группы (судя мо материалам с оф. сайта winbind отрабатывает именно по ним). schema_mode пробовал все три варианта.
В общем объяснения не нашел. Самба права на ресурсы резолвить отказалась. Забил.
Плюясь и матерясь решил пересесть на idmap_rid и оно внезапно завелось! Но опять не без косяка. В getent group не указывается связка группа-пользователь, если группа у него основная. Расследование показало отсутствие такой связки в LDAP на контроллере, только указан id основной группы. Судя по тому, что на виндах проблем нет, это таки не баг, а фича.
Можно, конечно, создать группу для дефолта, а в файл-сервере её задавить через force group (права и так по acl), но имхо костыль.
Пока работает, но в чем дело знать хотелось бы. Может кто сталкивался?