Subiecte ridicat deja această problemă, dar rămâne de puncte neclare.
Există o secțiune a rețelei cu ADS pe samba sprijin rfc2307, Fileserver pe samba. calculatoare Vindovyh în domeniu sunt incluse, nu plângeri. Utilizatorii sunt create, set uid. După unele mytarstv a început să lucreze wbinfo (-t -a câștigat și ca root, care nu dotupil imediat).
Empiric și bușteni calculat că, fără o indicație explicită în idmap domeniu:
și instrucțiuni pentru implicit diapazon:
fericirea nu este.
Când încercați să atașați un backend = anunț cad în grupul getent toate grupurile de domeniu. În timp ce lucrări passwd getent complet, inclusiv UID și GID. Aceeași poveste cu utilizator id DOMAIN \\. membru al grupului este corectă.
Și nis-grup în AD sunt înregistrate, iar grupul obișnuit de ferestre (judecând materiale mo la birou. Site-ul îndeplinește winbind este pentru ei). schema_mode a încercat toate cele trei opțiuni.
Explicația generală nu este găsit. Drepturile de resurse Samba a fost rezolvată refuzat. El a marcat.
Scuipatul și înjurături a decis să transfere la idmap_rid și dintr-o dată a fost prins! Dar, din nou, nu fără glaful. În grupul getent nu specifică o grămadă de utilizator-grup în cazul în care grupul a avut majore. Ancheta a relevat absența unui ligament în LDAP pe controlerul numai Set ID-ul grupului principal. Judecând după faptul că nu există probleme pe Windows, acesta nu este încă un bug, ci o caracteristică.
Puteți, desigur, de a crea un grup implicit, și serverul de fișiere pentru a zdrobi prin forța de grup (dreapta și așa mai departe ACL), dar IMHO carja.
În timp ce se execută, dar ce e problema, aș dori să știu. Cine poate confrunta?
funcționează în mod corespunzător, afișarea informațiilor despre utilizatori și grupuri din domeniu.
Bănuiesc că acesta poate fi implementat folosind Samba + PAM + Winbind. Eu fac acest lucru:
/etc/pam.d/dovecot creat fișierul după cum urmează:
În setarea de client de e-mail Microsoft Outlook în scris de utilizator (utilizator - numele de utilizator în domeniu, [email protected] - este valoarea câmpului în UserPrincipalName AD):
Clientul de e-mail nu umple câmpul pentru parolă (de fapt este scopul!). În cele din urmă, după încercarea de a obține mail în / var / log / maillog consultați următoarele:
Am înțeles că parola nu a fost furnizat, iar autentificarea nu se va întâmpla. Am găsit pe internet menționând că un astfel de sistem de lucrări, dar, din păcate, nici un detaliu. Tot ceea ce este găsit - să pună în aplicare, dar nu este suficient. Cum să vă asigurați că parola a fost acordată sesiunea curentă a domeniului? Ceea ce lipsește, sau în cazul în care greșeala mea nu este încă înțeles. Vă rugăm să ne ajute și să trimită în direcția cea bună. Vă mulțumim!
Bună ziua. Deja am scris despre caching vinbinde (aici). Aceasta, desigur, nu sunt zumzet, dar poate trăi. După actualizare pe serverele sunt exact aceleași (cu excepția cazului una fizică și cealaltă sub Xenia) căile vinbind a căzut, dar în diferite. La un wbinfo prin toate perfect clar, de asemenea, ntlm_auth funcționează, și NSS uchetki numai locale. Pe al doilea serverul nu are nici măcar asta. muncitor Domeniul verificat. Biblioteca libnss-winbind (precum și pam) instalate, chiar și doar în cazul comandat link-uri în / lib, toate scrise în nsswitch.conf. Am scotocit prin tot ceea ce a ajuns, nici un indiciu de o astfel de situație. Sau undeva să fie apt dreapta manual plin sau winbind lucru salbatic buggy. Sau am din nou ceva ce nu am înțeles.
Mi-am amintit de sprijinul unix domeniu ID. Este un înlocuitor winbind'u nis full-featured?
Bună ziua. Eu folosesc o grămadă de samba + winbind + calmar te rog spune-mi cum să repornească când winbind, da winbindd_privileged automat drepturi directorul? Am schimbat Fail /etc/init.d/winbind
dar nu ajută, încercați să intre în linie:
același rezultat. spune-mi ce să scrie pe /etc/init.d/winbind, care ar fi o repornire în folderul / var / run grup / samba / winbindd_privilege a emis drepturi proxy?
Rezultatele sunt disponibile pentru provocare, care a intrat în auth răspuns, precum și real parola / numele de utilizator de pe partea de server (în MySQL). Este necesar să se stabilească dacă parola este corectă sau nu.
Mi-ar luat cu bucurie profitat de pachetul winbind ntlm_auth, dar aici e problema:
ntlm_auth utilizează winbind pentru a avea acces la datele de utilizator și de autentificare pentru un domeniu
Acesta este ntlm_auth bătut în cuie la baza de winbind.
Din păcate, problema este specificitatea poarta cu configurație ceva winbind - este destul în nici poarta nu. Există ceva în același spirit, ci doar ținând real numele de utilizator / parola de la intrare?
acolo linux samba \ winbind + anunț de la AD zamachenny mai multe grupuri în locale
Exemplu: groupmap net add sid = S-1. unixgroup = admin
dacă faci cache net deversa muștele de cartografiere, de exemplu, du-te sub domeniul utilizatorului, și afișează grupurile de domeniu
(Grupa uid = 103743 (usertest) gid = 20513 (utilizatorii de domeniu Id))
dacă mapiing îndepărtat și recreat, atunci grupul este afișat corect până la următoarea resetare cache
id uid = 103743 (usertest) gid = 500 (admin)
modul de a face resetare \ cache îmbătrânirea nu a afectat grupul de cartografiere?