LINUX.ORG.RU

Сообщения ger0strat

 

опять samba ad, опять winbind, опять idmap

Форум — Admin

Уже поднимал темы с этим вопросом, однако остались непонятные моменты.
Есть участок сети с ADS на самбе с поддержкой rfc2307, файлсервером на самбе. Виндовые компы в домен входят, нареканий нет. Пользователи создаются, uid устанавливаются. После некоторых мытарств начал отрабатывать wbinfo (-t и -a заработали под рутом, до чего не сразу дотупил).
Опытным путём и по логам вычислил, что без явного указания домена в idmap:

idmap config DOMAIN : ...
и указания диапозона для дефолта:
idmap config * : range = min-max
счастья не будет.
При попытке прицепить backend = ad отваливаются в getent group все доменные группы. Притом getent passwd работает полностью, включая uid и gid. Та же история с id DOMAIN\\user. Членство в группах корректно.
И nis-группы в AD прописаны, и обычные виндовые группы (судя мо материалам с оф. сайта winbind отрабатывает именно по ним). schema_mode пробовал все три варианта.
В общем объяснения не нашел. Самба права на ресурсы резолвить отказалась. Забил.

Плюясь и матерясь решил пересесть на idmap_rid и оно внезапно завелось! Но опять не без косяка. В getent group не указывается связка группа-пользователь, если группа у него основная. Расследование показало отсутствие такой связки в LDAP на контроллере, только указан id основной группы. Судя по тому, что на виндах проблем нет, это таки не баг, а фича.
Можно, конечно, создать группу для дефолта, а в файл-сервере её задавить через force group (права и так по acl), но имхо костыль.
Пока работает, но в чем дело знать хотелось бы. Может кто сталкивался?

 , ,

ger0strat
()

опять чудеса с winbind

Форум — Admin

Доброго времени суток. Уже писал по поводу кэширования в винбинде (тут). Это, конечно, тоже не гуд, но жить было можно. После обновления на абсолютно одинаковых серверах (разве что один физический, а другой под ксеном) отвалился винбинд, но по-разному. На одном через wbinfo все прекрасно видно, ntlm_auth тоже отрабатывает, а в nss только локальные учетки. На втором сервере нет даже этого. Домен рабочий, проверено. Библиотеки libnss-winbind (а также для pam) установлены, даже на всякий случай прописал линки в /lib, в nsswitch.conf все прописано. Перерыл все, до чего дотянулся, ни намека на такую ситуацию. Либо где-то должен быть полный правильный годный мануал, либо winbind дико глючная штука. Ну или я опять чего-то не понял.

Вспомнил про поддержку юниксовых id в домене. Не является ли nis полнофункциональной заменой winbind'у?

 ,

ger0strat
()

некорректное членство пользователей в доменных группах

Форум — General

Доброго времени суток. Нашел тему с аналогичной проблемой (linux.org.ru/forum/admin/6616609), но она в архиве. Имеется AD на самбе. Вполне рабочий, компы в домен вводятся, пользователи/группы настраиваются. Имеется на другой машине самба как файлсервер. Имена пользователей/групп разрешаются, uid/gid видны, используются.

getent passwd отрабатывает идеально

getent group отрабатывает идеально, в том числе и состав группы

winbind вполне кэширует это все

Но после добавления/редактирования групп пользователя

id dom\\usr

перестает отдавать актуальную информацию. Происходит это не сразу, количество групп и время с момента создания пользователя разное. А wbinfo и getent все равно продолжают говорить правду. Сама же самба ведет себя так, как будто берет данные оттуда же, откуда и id. Винбиндовские *.tdb обновляются.

Непонятно, откуда конкретно берет данные id? Конфиги, если нужно, выложу, но едва ли дело в настройке.

Спасайте, люди)

 , , , ,

ger0strat
()

RSS подписка на новые темы