No se puede hacer que idmap_ad funcione con Ubuntu 12.04 y Samba 4

tag-icon tag-icon active-directory samba
No se puede hacer que idmap_ad funcione con Ubuntu 12.04 y Samba 4

Estoy intentando obtener el mapeo uid y gid que configuré en el directorio activo para copiarlo desde allí a mis cuadros de Ubuntu ya existentes que estoy agregando a un controlador de dominio de Windows 2008. Estamos tratando de unir todas las máquinas y, dado que las máquinas ya tienen estas asignaciones de OpenLDAP, es muy importante lograr que las copien. Estoy usando Samba4, Winbind, Ubuntu 12.04.

smb.conf:

[global]
security = ads
realm = DOMAIN.NET
password server = dc01.domain.net
workgroup = DOMAIN
#idmap uid = 1000-99999
#idmap gid = 1000-99999
idmap config *:backend = tdb
idmap config *:range = 70001-80000
idmap config DOMAIN:backend = ad
idmap config DOMAIN:range = 500-40000
winbind nss info = rfc2307
winbind separator = +
winbind enum users = no
winbind enum groups = no
winbind use default domain = yes
template homedir = /home/%U
template shell = /bin/bash
client use spnego = yes
domain master = no

krb5.conf:

[logging]
    default = FILE:/var/log/krb5.log
[libdefaults]
    allow_weak_crypto = true
    ticket_lifetime = 24000
    default_realm = DOMAIN.NET
    default_tkt_enctypes = rc4-hmac
    default_tgs_enctypes = rc4-hmac
[realms]
    DOMAIN.NET = {
        kdc = DC01.DOMAIN.NET
        admin_server = DC01.DOMAIN.NET
        default_domain = DOMAIN
}
[domain_realm]
    .domain.net = DOMAIN.NET
    domain.net = DOMAIN.NET

nsswitch.conf

# pre_auth-client-config # passwd:         compat
passwd: compat winbind
# pre_auth-client-config # group:          compat
group: compat winbind
# pre_auth-client-config # shadow:         compat
shadow: compat winbind

hosts:          files dns wins
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

# pre_auth-client-config # netgroup:       nis
netgroup: nis

Cuando agrego la configuración de idmap DOMINIO: backend = líneas de anuncios, no puedo ingresar a la máquina mediante ssh con una cuenta de dominio, solo local. Si comento esas líneas, puedo SSH con cuentas de dominio y se leen grupos. Ambas configuraciones me permiten obtener devoluciones de wbinfo, en ambas getent también devuelve cuentas locales. Estoy más que perplejo.

Respuesta1

Los atributos de Unix deben configurarse en el grupo Usuarios de dominio para que se puedan incorporar los usuarios de AD. Luego, se puede consultar a cualquiera que tenga los campos de Unix definidos.

información relacionada