Não foi possível fazer o idmap_ad funcionar com o Ubuntu 12.04 e o Samba 4

tag-icon tag-icon active-directory samba
Não foi possível fazer o idmap_ad funcionar com o Ubuntu 12.04 e o Samba 4

Estou tentando obter o mapeamento uid e gid que defini no diretório ativo para copiar de lá para minhas caixas Ubuntu já existentes que estou adicionando a um controlador de domínio do Windows 2008. Estamos tentando unir todas as máquinas, e como as máquinas já possuem esses mapeamentos do OpenLDAP, fazer com que elas sejam copiadas é muito importante. Estou usando Samba4, Winbind, Ubuntu 12.04.

smb.conf:

[global]
security = ads
realm = DOMAIN.NET
password server = dc01.domain.net
workgroup = DOMAIN
#idmap uid = 1000-99999
#idmap gid = 1000-99999
idmap config *:backend = tdb
idmap config *:range = 70001-80000
idmap config DOMAIN:backend = ad
idmap config DOMAIN:range = 500-40000
winbind nss info = rfc2307
winbind separator = +
winbind enum users = no
winbind enum groups = no
winbind use default domain = yes
template homedir = /home/%U
template shell = /bin/bash
client use spnego = yes
domain master = no

krb5.conf:

[logging]
    default = FILE:/var/log/krb5.log
[libdefaults]
    allow_weak_crypto = true
    ticket_lifetime = 24000
    default_realm = DOMAIN.NET
    default_tkt_enctypes = rc4-hmac
    default_tgs_enctypes = rc4-hmac
[realms]
    DOMAIN.NET = {
        kdc = DC01.DOMAIN.NET
        admin_server = DC01.DOMAIN.NET
        default_domain = DOMAIN
}
[domain_realm]
    .domain.net = DOMAIN.NET
    domain.net = DOMAIN.NET

nsswitch.conf

# pre_auth-client-config # passwd:         compat
passwd: compat winbind
# pre_auth-client-config # group:          compat
group: compat winbind
# pre_auth-client-config # shadow:         compat
shadow: compat winbind

hosts:          files dns wins
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

# pre_auth-client-config # netgroup:       nis
netgroup: nis

Quando adiciono as linhas de configuração idmap DOMAIN:backend = ad, não consigo fazer ssh na máquina com uma conta de domínio, apenas local. Se eu comentar essas linhas, posso ler o SSH com contas de domínio e grupos. Ambas as configurações me permitem obter retornos do wbinfo, em ambos os getent também retorna apenas contas locais. Estou além de perplexo.

Responder1

Os atributos Unix devem ser definidos no grupo Usuários do Domínio para que os usuários do AD sejam obtidos. Então, qualquer pessoa com os campos Unix definidos pode ser consultada.

informação relacionada