Невозможно заставить idmap_ad работать с Ubuntu 12.04 и Samba 4

tag-icon tag-icon active-directory samba
Невозможно заставить idmap_ad работать с Ubuntu 12.04 и Samba 4

Я пытаюсь получить сопоставление uid и gid, которое я установил в Active Directory, чтобы скопировать оттуда на мои уже существующие Ubuntu-боксы, которые я добавляю в контроллер домена Windows 2008. Мы пытаемся объединить все машины, и поскольку машины уже имеют эти сопоставления из OpenLDAP, очень важно заставить их скопировать. Я использую Samba4, Winbind, Ubuntu 12.04.

smb.conf:

[global]
security = ads
realm = DOMAIN.NET
password server = dc01.domain.net
workgroup = DOMAIN
#idmap uid = 1000-99999
#idmap gid = 1000-99999
idmap config *:backend = tdb
idmap config *:range = 70001-80000
idmap config DOMAIN:backend = ad
idmap config DOMAIN:range = 500-40000
winbind nss info = rfc2307
winbind separator = +
winbind enum users = no
winbind enum groups = no
winbind use default domain = yes
template homedir = /home/%U
template shell = /bin/bash
client use spnego = yes
domain master = no

krb5.conf:

[logging]
    default = FILE:/var/log/krb5.log
[libdefaults]
    allow_weak_crypto = true
    ticket_lifetime = 24000
    default_realm = DOMAIN.NET
    default_tkt_enctypes = rc4-hmac
    default_tgs_enctypes = rc4-hmac
[realms]
    DOMAIN.NET = {
        kdc = DC01.DOMAIN.NET
        admin_server = DC01.DOMAIN.NET
        default_domain = DOMAIN
}
[domain_realm]
    .domain.net = DOMAIN.NET
    domain.net = DOMAIN.NET

nsswitch.conf

# pre_auth-client-config # passwd:         compat
passwd: compat winbind
# pre_auth-client-config # group:          compat
group: compat winbind
# pre_auth-client-config # shadow:         compat
shadow: compat winbind

hosts:          files dns wins
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

# pre_auth-client-config # netgroup:       nis
netgroup: nis

Когда я добавляю строки idmap config DOMAIN:backend = ad, я не могу подключиться по ssh к машине с учетной записью домена, только локальной. Если я закомментирую эти строки, я смогу подключиться по SSH с учетными записями домена, и группы будут прочитаны. Оба конфига позволяют мне получать возвраты от wbinfo, в обоих getent также возвращает только локальные учетные записи. Я в тупике.

решение1

Для включения пользователей AD в группу «Пользователи домена» необходимо задать атрибуты Unix. Затем можно отправлять запросы всем, у кого определены поля Unix.

Связанный контент