我在Ubuntu 12.04服务器上安装了Request Tracker 。 它被configuration为通过winbind对活动目录进行身份validation。
以下是apache2configuration的相关部分:
AuthType NTLM AuthType Negotiate AuthName "Request Tracker" NTLMAuth on NTLMAuthHelper "/usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp" NegotiateAuth on NegotiateAuthHelper "/usr/bin/ntlm_auth --helper-protocol=gss-spnego" 请求跟踪器匹配用户名apache对其自己的用户进行身份validation,并自动login。 该站点位于Internet Explorer的Intranet区域,因此会自动logging人员。对大多数人来说,它是完美的。 在Apache访问日志中,它显示了每个请求login的人的用户名。
但是,从我们的两台电脑中,请求跟踪器无法将用户名与帐户相匹配。 看Apache的日志,显而易见的是,当试图从该计算机login时,用户名Apache的logging是DOMAIN\\username ,而不仅仅是username 。
Apacheauthentication他们就好 – 但与意外格式化的用户名。
从这些计算机login的人无关紧要,login信息logging为DOMAIN\\username 。
据我所知,有问题的计算机没有什么特别的。 他们从相同的图像部署,具有相同的组策略,相同的Windows更新,相同的IE版本(9)作为工作。
什么可能导致用户名被格式化的方式的差异?
编辑:因为它可能与桑巴有关,这里是smb.conf的相关部分:
[global] security = ads realm = STLEONARDS.LOCAL password server = * workgroup = STLEONARDS winbind enum users = yes winbind enum groups = yes winbind nested groups = yes winbind refresh tickets = yes template homedir = /home/%D/%U template shell = /bin/bash client use spnego = yes client ntlmv2 auth = yes encrypt passwords = true winbind use default domain = yes restrict anonymous = 2 valid users = @"Domain Users" idmap uid = 70000-100000 idmap gid = 70000-100000
我试图改变winbind use default domain为no ,但没有任何区别。
这似乎是协商身份validation选项的问题。 删除3行进行协商使所有用户能够login,Web服务器日志显示用户名。
我不知道为什么有些电脑selectNTLM,有些则不是。 但只有NTLM身份validation一切正常。