我试图得到我已经在Active Directory中设置的UID和GID映射,从那里复制到我已经添加到Windows 2008域控制器的已经存在的Ubuntu盒子。 我们试图让所有的机器都join,而且由于机器已经有了这些OpenLDAP的映射,所以让它们复制是非常重要的。 我正在使用Samba4,Winbind,Ubuntu 12.04。
smb.conf文件:
[global] security = ads realm = DOMAIN.NET password server = dc01.domain.net workgroup = DOMAIN #idmap uid = 1000-99999 #idmap gid = 1000-99999 idmap config *:backend = tdb idmap config *:range = 70001-80000 idmap config DOMAIN:backend = ad idmap config DOMAIN:range = 500-40000 winbind nss info = rfc2307 winbind separator = + winbind enum users = no winbind enum groups = no winbind use default domain = yes template homedir = /home/%U template shell = /bin/bash client use spnego = yes domain master = no krb5.conf的:
[logging] default = FILE:/var/log/krb5.log [libdefaults] allow_weak_crypto = true ticket_lifetime = 24000 default_realm = DOMAIN.NET default_tkt_enctypes = rc4-hmac default_tgs_enctypes = rc4-hmac [realms] DOMAIN.NET = { kdc = DC01.DOMAIN.NET admin_server = DC01.DOMAIN.NET default_domain = DOMAIN } [domain_realm] .domain.net = DOMAIN.NET domain.net = DOMAIN.NET
的nsswitch.conf
# pre_auth-client-config # passwd: compat passwd: compat winbind # pre_auth-client-config # group: compat group: compat winbind # pre_auth-client-config # shadow: compat shadow: compat winbind hosts: files dns wins networks: files protocols: db files services: db files ethers: db files rpc: db files # pre_auth-client-config # netgroup: nis netgroup: nis
当我添加idmap config DOMAIN:backend = ad lines时,我无法用域帐户ssh进入机器,只能在本地。 如果我评论这些线,我可以SSH域名帐户和组阅读。 这两个configuration允许我从wbinfo获得返回,在这两个getent中也只返回本地acces。 我无法抗拒。
必须在域用户组中设置Unix属性,以便AD用户被引入。然后,可以查询任何具有定义的Unix字段的人。