Active Directory에 설정한 uid 및 gid 매핑을 Windows 2008 도메인 컨트롤러에 추가할 기존 Ubuntu 상자로 복사하려고 합니다. 우리는 모든 시스템을 연결하려고 노력하고 있으며 시스템이 이미 OpenLDAP에서 이러한 매핑을 갖고 있으므로 복사하도록 하는 것이 매우 중요합니다. 저는 Samba4, Winbind, Ubuntu 12.04를 사용하고 있습니다.
smb.conf:
[global]
security = ads
realm = DOMAIN.NET
password server = dc01.domain.net
workgroup = DOMAIN
#idmap uid = 1000-99999
#idmap gid = 1000-99999
idmap config *:backend = tdb
idmap config *:range = 70001-80000
idmap config DOMAIN:backend = ad
idmap config DOMAIN:range = 500-40000
winbind nss info = rfc2307
winbind separator = +
winbind enum users = no
winbind enum groups = no
winbind use default domain = yes
template homedir = /home/%U
template shell = /bin/bash
client use spnego = yes
domain master = no
krb5.conf:
[logging]
default = FILE:/var/log/krb5.log
[libdefaults]
allow_weak_crypto = true
ticket_lifetime = 24000
default_realm = DOMAIN.NET
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
[realms]
DOMAIN.NET = {
kdc = DC01.DOMAIN.NET
admin_server = DC01.DOMAIN.NET
default_domain = DOMAIN
}
[domain_realm]
.domain.net = DOMAIN.NET
domain.net = DOMAIN.NET
nsswitch.conf
# pre_auth-client-config # passwd: compat
passwd: compat winbind
# pre_auth-client-config # group: compat
group: compat winbind
# pre_auth-client-config # shadow: compat
shadow: compat winbind
hosts: files dns wins
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
# pre_auth-client-config # netgroup: nis
netgroup: nis
idmap config DOMAIN:backend = ad 줄을 추가하면 도메인 계정으로 컴퓨터에 SSH를 통해 연결할 수 없고 로컬로만 연결할 수 있습니다. 해당 줄을 주석 처리하면 도메인 계정과 그룹을 사용하여 SSH를 읽을 수 있습니다. 두 구성 모두 wbinfo에서 반환을 얻을 수 있도록 허용하며, 두 getent 모두 로컬 acct만 반환합니다. 나는 당황한 것 이상입니다.
답변1
AD 사용자를 끌어들이려면 도메인 사용자 그룹에 Unix 특성을 설정해야 합니다. 그런 다음 Unix 필드가 정의된 사람은 누구나 쿼리할 수 있습니다.