试图build立一个Linux服务器来validation公司活动目录上的用户,我们正面临一个问题。 我们使用的是SAMBA,winbind,krb5和PAM。
尝试列出系统中的用户时出现问题。 winbind试图在公司分支的所有可信域中查找它们。 由于他们不能从Linux服务器访问,我们得到一个超时。
我们如何才能告诉桑巴或winbind只在父域寻找用户,并避免其余的?
我们希望来自company.com用户,而不是来自branch1.comapny.com 。
编辑:
RHBA上的SAMBA版本是3.0.33。
这听起来像是从3.0.26之前的Samba退步 。 提出了一个补丁,并将其重新添加到Samba 3.3 。
如果您准备自己修补Samba的源代码,那么就有一个“唯一的域”补丁 ,这是“忽略域”的反面。
您可以将此选项添加到smb.conf中:
allow trusted domains = no
我实际上已经在办公室的Ubuntu工作站上安装了这个设置,所以我不需要使用Windows,但是仍然需要对域AD进行身份validation。 我们有几个可信任的域名,所以我将其限制在我们用于工作站login的主要AD域。 我相信我已经find了所有相关的条目,所以如果你有麻烦让我知道,我会寻找其他散布在configuration中的散布者。
idmap uid = 2000-50000000 idmap gid = 2000-50000000 idmap backend = rid:DOMAIN=2000-50000000 template shell = /bin/bash template homedir = /home/%D/%U winbind use default domain = yes allow trusted domains = No password server = FQDN-of-AD-Server use kerberos keytab = true
还有一点需要注意的是,为了能够在系统重新启动后进行身份validation,我必须确定Samba和Winbind几乎是最后才能启动的。