idmap_ad funktioniert nicht mit Ubuntu 12.04 und Samba 4

tag-icon tag-icon active-directory samba
idmap_ad funktioniert nicht mit Ubuntu 12.04 und Samba 4

Ich versuche, die UID- und GID-Zuordnung, die ich im Active Directory festgelegt habe, von dort auf meine bereits vorhandenen Ubuntu-Boxen zu kopieren, die ich zu einem Windows 2008-Domänencontroller hinzufüge. Wir versuchen, alle Maschinen zu verbinden, und da die Maschinen diese Zuordnungen bereits von OpenLDAP haben, ist es sehr wichtig, sie zu kopieren. Ich verwende Samba4, Winbind, Ubuntu 12.04.

smb.conf:

[global]
security = ads
realm = DOMAIN.NET
password server = dc01.domain.net
workgroup = DOMAIN
#idmap uid = 1000-99999
#idmap gid = 1000-99999
idmap config *:backend = tdb
idmap config *:range = 70001-80000
idmap config DOMAIN:backend = ad
idmap config DOMAIN:range = 500-40000
winbind nss info = rfc2307
winbind separator = +
winbind enum users = no
winbind enum groups = no
winbind use default domain = yes
template homedir = /home/%U
template shell = /bin/bash
client use spnego = yes
domain master = no

krb5.conf:

[logging]
    default = FILE:/var/log/krb5.log
[libdefaults]
    allow_weak_crypto = true
    ticket_lifetime = 24000
    default_realm = DOMAIN.NET
    default_tkt_enctypes = rc4-hmac
    default_tgs_enctypes = rc4-hmac
[realms]
    DOMAIN.NET = {
        kdc = DC01.DOMAIN.NET
        admin_server = DC01.DOMAIN.NET
        default_domain = DOMAIN
}
[domain_realm]
    .domain.net = DOMAIN.NET
    domain.net = DOMAIN.NET

nsswitch.conf

# pre_auth-client-config # passwd:         compat
passwd: compat winbind
# pre_auth-client-config # group:          compat
group: compat winbind
# pre_auth-client-config # shadow:         compat
shadow: compat winbind

hosts:          files dns wins
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

# pre_auth-client-config # netgroup:       nis
netgroup: nis

Wenn ich die Zeilen idmap config DOMAIN:backend = ad hinzufüge, kann ich mich nicht mit einem Domänenkonto per SSH mit dem Computer verbinden, sondern nur mit einem lokalen. Wenn ich diese Zeilen auskommentiere, kann ich mich per SSH mit Domänenkonten verbinden und Gruppen werden gelesen. Beide Konfigurationen ermöglichen es mir, Ergebnisse von wbinfo zu erhalten, in beiden gibt getent auch nur lokale Konten zurück. Ich bin völlig ratlos.

Antwort1

Die Unix-Attribute müssen in der Gruppe „Domänenbenutzer“ festgelegt werden, damit die AD-Benutzer einbezogen werden können. Anschließend kann jeder abgefragt werden, für den die Unix-Felder definiert sind.

verwandte Informationen