我试图在Windows(SID)和Linux(uid / gid)客户端上使用正确的ID进行samba共享。 问题在于uid和gid没有正确映射回SID,而SID也没有parsing为名称。 什么可能导致这个问题,如何解决? 什么工作 从Active Directory UNIX属性映射到Linux上的uid / gid 获得股份 Windows:资源pipe理器中的UNC-Path,Kerberos票证被接受(对于凭证无疑问) Linux: sudo mount -t cifs //ribonas2/test /mnt/ribonas2/smb/ -o domain=DOMAIN,username=paul.jaehne 处理共享上的文件 什么都行不通 在Windows上创build的文件具有Unix User\和Unix Group\ (UNIX uid和gid在打开安全选项卡时很短的时间内也可见),而不是DOMAIN\作为用户和组的前缀 添加权限是有缺陷的:我可以添加领域的主体,不久之后DOMAIN\whatever显示正确。 当我等待一段时间或查看另一台计算机的共享时,只显示SID(SID是正确的,但不parsing名称): Environement /configuration 我使用了以下指南(由于声誉要求,无法添加真实链接): Ubuntu 16.04 SAMBA文件服务器指南 Ubuntu 16.04 SSSD AD指南 SAMBA维基域成员 SAMBA wiki ACL 多个域控制器(Windows Server 2003和Windows Server 2012 R2) Windows Server 2003中的Active Directory架构 […]
我们正在使用SSSD进行使用LDAP的身份validation。 我使用simple_allow_groups过滤用户访问权限 ,如下所示: access_provider = simple simple_allow_groups = Computer Admins ( 注意 :计算机pipe理员是LDAP组) 是否有可能获得使用getent或其他东西的唯一允许的用户列表? 有一个枚举选项,但是这列出了来自LDAP的所有用户。 我只对允许的用户感兴趣。
我正在使用RedHat与SSSD身份validation对活动目录。 在sssd.conf文件中指定了3个域,并为用户所在的域指定了默认后缀。 当使用域帐户创build新文件时,它包括REALM(见下文) drwxr-xr-x. 2 [email protected] domain [email protected] 6 Jun 12 15:32 test drwxr-xr-x. 2 [email protected] domain [email protected] 6 Jun 12 15:36 test2 由于纱线日志聚合的工作方式,用户帐户使用( adm-rumno0-xeu )与其尝试访问的文件夹的所有者之间存在不匹配( [email protected] ) 我需要的是 drwxr-xr-x. 2 adm-rumno0-xeu domain users 6 Jun 12 15:32 test drwxr-xr-x. 2 adm-rumno0-xeu domain users 6 Jun 12 15:36 test2 我已经尝试将use_fully_qualified_names设置为False,但是阻止login。
我们有 auth optional pam_krb5.so try_first_pass 在 /etc/pam.d/password-auth-ac 和 /etc/pam.d/system-auth-ac 但是当我成功login后,我得到一个klist klist: No credentials cache found (filename: /tmp/nnnnn) 这可能是什么原因? 身份validation和会话堆栈: auth required pam_env.so auth sufficient pam_fprintd.so auth required pam_tally2.so deny=12 unlock_time=3600 auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth optional pam_krb5.so try_first_pass auth sufficient pam_sss.so forward_pass auth required pam_deny.so session optional […]
我正在使用CentOS 7.4.1708运行一个服务器,并且应用了所有的修补程序。 sssd是版本1.15.2。 我有一个工作sssd设置,使我能够使用存储在Active Directory中的SSH公钥login。 configuration 实例成功join,这是我的/etc/sssd/sssd.conf : [sssd] domains = EXAMPLE.COM default_domain_suffix = EXAMPLE.COM config_file_version = 2 debug_level = 7 services = nss, pam, ssh [domain/EXAMPLE.COM] ad_domain = EXAMPLE.COM debug_level = 7 krb5_realm = EXAMPLE.COM realmd_tags = manages-system joined-with-samba cache_credentials = True id_provider = ad krb5_store_password_if_offline = True default_shell = /bin/bash ldap_id_mapping = True […]
我们使用ldap和sssd作为用户pipe理,所以我们的用户不在“/ etc / passwd” 不幸的是,ps只显示了UID: [root@xyz ~]# id jmw uid=1582(jmw) gid=1582(jmw) groups=1582(jmw), 1000(admins) [root@xyz ~]# ps aux [..cutting some output..] 1582 26794 25.0 0.4 190420 38508 ? S 12:15 0:00 /usr/bin/php-cgi -c php.ini [..cutting some output..] 我怎么能轮询用户名,属于一个UID? ( grep ':1582:' /etc/passwd不起作用;-))
我是SSSD的新手,但是我认为我正确地configuration了它,考虑了id {ldap user}为多个testing用户返回了期望的uid和gid值。 我使用两台CentOS 6.4服务器作为testing机器。 一个运行ApacheDS和另一个SSSD。 但是,当我试图通过SSH或直接在控制台上login,使用任何一个用户,我得到访问被拒绝。 我已经花了最后的几天浇注SSSD日志,我不知道还有什么地方看。 而不是包括所有的configuration文件,我现在只是说,我在客户端服务器上运行以下authconfig –enablesssd –enablesssdauth –enablelocauthorize –update 。 请检查下面的我的SSSDconfiguration和这里 SSSD_Default日志。 让我知道你想看什么额外的日志,我会尽快把他们拉。 谢谢你的帮助! cat /etc/sssd/sssd.conf [SSSD] config_file_version = 2 服务= nss,pam 域=默认 debug_level = 4 [NSS] filter_users = root debug_level = 4 [PAM] debug_level = 4 [域/默认] debug_level = 4 ldap_tls_reqcert =从不 auth_provider = ldap ldap_schema = rfc2307 ldap_search_base = […]
尝试将本地用户添加到正在使用ldap进行Samba身份validation的CentOS 6.3系统,但受到用户在ldap中的现有条目的阻碍。 [root@samba ~]# adduser wchandy adduser: user 'wchandy' already exists [root@samba ~]# useradd wchandy useradd: user 'wchandy' already exists 用户不是本地用户: [root@edgar2 ~]# grep wchandy /etc/passwd 但是他们是ldap中的Samba用户: [root@edgar2 ~]# smbldap-usershow wchandy | grep uid dn: uid=wchandy,ou=people,dc=ucsc,dc=edu uid: wchandy uidNumber: 30490 adduser没有本地选项。 如何让adduser正常工作以在存在ldap身份validation的情况下添加本地用户。 其他要考虑的事情: 目前有本地用户共享一个带有ldap条目(具有不同的uidNumber)的用户,他们可以独立访问samba和ssh。 不,我不想将用户直接编辑到/ etc / passwd和/ etc / group中。 我想解决潜在的问题。 此外,本地条目干扰访问桑巴。 不,我不想依赖ldap进行本地sshlogin。 不,我不想为用户使用不同的uid。 […]
无论我尝试什么,我都无法通过LDAPS / 636将sssd连接到我的ldap / FreeIPA服务器。 检查debugging显示sssd显示它应该使用636 …但是数据包捕获和lsof显示否则。 客户端是RHEL6.4,sssd 1.9.2,ipa-client 3.0.0 sssd日志的snippit (Wed Apr 23 09:35:35 2014) [sssd[be[int.example.net]]] [fo_resolve_service_send] (0x0100): Trying to resolve service 'IPA' (Wed Apr 23 09:35:35 2014) [sssd[be[int.example.net]]] [resolve_srv_send] (0x0200): The status of SRV lookup is neutral (Wed Apr 23 09:35:35 2014) [sssd[be[int.example.net]]] [resolve_srv_cont] (0x0100): Searching for servers via SRV query '_ldap._tcp.int.example.net' (Wed […]
在一段时间里,我一直在研究LDAP集成。 现在,configuration几乎所有我需要的东西之后,我想出了最后一道墙:需要使用从LDAP服务器获取的辅助组。 行为: [root@sr-servicesLin ~]# id hmr uid=2956(hmr) gid=10000(ldapusers) groups=10000(ldapusers) [root@sr-servicesLin ~]# getent group repo repo:*:25958: [root@sr-servicesLin ~]# groups hmr hmr : ldapusers 回购组的内容(这是一个LDAP组): [root@sr-dns ~]# ldapsearch -x -H ldaps://ldap.eibind.iss -b "dc=eibind,dc=iss" "(&(objectclass=posixGroup)(cn=repo)(gidNumber=*))" # extended LDIF # # LDAPv3 # base <dc=eibind,dc=iss> with scope subtree # filter: (&(objectclass=posixGroup)(cn=repo)(gidNumber=*)) # requesting: ALL # # repo, Groups, […]