winbind и «не лесные» домены

0

1

Есть два взаимодоверяющих контроллера домена под Windows Server 2003 и 2008, домены, которые на них хостятся, к сожалению, не в одном лесу.
Вопрос: можно ли с помощью winbind авторизовать хелпером ntlm_auth из поставки Samba 3 пользователей из обоих доменов?
Вопрос возник потому, что в smb.conf указывается, к сожалению, только один REALM и это наводит на подозрения. С другой стороны, в логике Winind'а явно заложена и мультидоменность: например, он обескураживающим образом полагает, что NetBios - имя компа - это тоже... домен такой!
С практической точки зрения реализовать отсутствие привязки к одному контроллеру домена в winbind - раз плюнуть, но вот есть ли это самое «раз плюнуть» там или нет?

Ссылка

←	Создание огромного файла за секунду

Странности с wins

→

Интересный вопрос. В своё время у меня не дошли руки потестить это на оффтопик-сервере, хоть и было желание.

Поскольку в LDAP вы намного лучше меня разбираетесь, только могу посоветовать пройтись по google://site:lists.samba.org trusted domains

Беглый просмотрт показывает, что это делается вроде через idmap бэкенд и вы не первый кто этим интересуется.

~~adriano32~~ ★★★
(29.03.11 01:00:15 MSK)

Ссылка

Попробуй прицепить winbind к одному из доменов и авторизовывать в нем пользователя из другого, путем указания имени пользователя с доменом:

WS2003DOMAIN\username
WS2008DOMAIN\username

Само собой в smb.conf
winbind use default domain = yes

Стоять НЕ должно.

~~zgen~~ ★★★★★
(29.03.11 01:07:07 MSK)

Ссылка

С практической точки зрения реализовать отсутствие привязки к одному контроллеру домена в winbind

С AD могу соврать, но он очень даже привязан через директиву «password server»

~~zgen~~ ★★★★★
(29.03.11 01:08:25 MSK)

Ответ на: комментарий от zgen 29.03.11 01:08:25 MSK

>С AD могу соврать, но он очень даже привязан через директиву «password server»

Эта директива нужна только в качестве костыля к нереально кривому DNS, если не сказать -к ломанному. Везде в документации сказано, что password server должен находиться сам по SRV-записи (очевидно, записи вида _dc.*) контроллера домена. И только если samba по причинам, от неё не зависящим, не находит соотв. запись, вот тогда и нужен password server. Ещё эта директива нужна, если положим, записей в DNS несколько: одна указывает в Малазию, другая - в серверную за углом и нужно, чтобы по-любому выбиралась не Малазия.

Попробуй прицепить winbind к одному из доменов и авторизовывать в нем пользователя из другого, путем указания имени пользователя с доменом:

Во, вот это разумно... Вдруг и правда сработает. Спасибо, попробую, отпишусь.

DRVTiny ★★★★★
(29.03.11 03:24:29 MSK) автор топика

Ответ на: комментарий от DRVTiny 29.03.11 03:24:29 MSK

Не работает, к сожалению :(

DRVTiny ★★★★★
(29.03.11 16:10:57 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Создание огромного файла за секунду

Admin

Странности с wins

→

Похожие темы