这是一个场景: 我有两台机器: Ubuntu,运行ldap来validation用户 CentOs使用winbind来authentication用户 安装家庭我使用fstab和nfs股票。 问题是这样的: 在Ubuntu上,在getent passwd用户看起来像这样: john:x:3000052:1901:John Doe:/home/john:/bin/bash 但在CentOs上,同样的用户在getent passwd中使用如下所示: john:*:16777228:16777218:John Doe:/home/john:/bin/bash 正如你所看到的UID和GID不匹配,当用户尝试在CentOS上访问homefoler时,拒绝parsing权限。 对于AD用户,我希望CentOS具有与Ubuntu相同的UID和GID。 我在smb.conf中find了关于idmap的一些东西,但是我没有工作。 [global] idmap workgroup = MOSEK idmap config MOSEK:backend = rid idmap config MOSEK:base_rid = 0 idmap config MOSEK:range = 3000040 – 4999999 #–authconfig–start-line– # Generated by authconfig on 2014/09/30 08:26:52 # DO NOT EDIT THIS SECTION (delimited by […]
我有类似的情况在这个线程在AD组成员变化不反映在winbind信息 。 唯一的区别是,这只发生在我的scheme的“跨域”。 这是我的configuration – http://pastebin.ca/3035431 … 我将不胜感激,如果有人可以给我一些启示: (1)如何让“id”命令反映正确的组员资格。 (2)在Active Directory中进行更改后,如何使Winbind自动反映组成员资格。 谢谢!
对,所以我在Centos7中用PAM挣扎了一下。 我不知道如何手动configuration它,并使更改永久,以便我成功sshlogin后得到一张kerberos票证。 你可以看到的主要身份validation方法是winbind,我希望它保持这样。 到目前为止,我已经在使用authconfig自动生成的/etc/pam.d/system-auth中: auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth sufficient pam_winbind.so use_first_pass auth required pam_deny.so 在之前的版本中,我会添加: auth optional pam_krb5.so try_first_pass 任何想法如何在Centos7中做到这一点? 我不想使用Kerberos进行身份validation,因为它可能会弄乱密码更改中的所有内容。
我们有很多通常通过SSH访问的Linux开发服务器。 每个开发者在每个框上都有一个由Puppetpipe理的本地帐户。 login只能通过私钥。 没有本地密码。 我想在这些盒子上运行Samba,并对我们的AD域进行身份validation。 除了Samba之外,我不需要AD身份validation – 其他任何东西都可以通过SSH和私钥访问。 这是我的smb.conf : [global] workgroup = DOMAIN server string = Samba Server Version %v security = ADS realm = DOMAIN.FQDN encrypt passwords = yes log level = 3 log file = /var/log/samba/%U.log [homes] comment = Home Directories browseable = no writable = yes 我很确定Kerberosconfiguration是好的,因为我已经join了域。 相关(即非标准) nsswitch.conf行: passwd: files […]
我工作在Windowsnetworking中设置桑巴。 目标是来自Active Direcotry的Windows用户使用他们的密码loginsamba共享。 我不确定在这个设置中,AD服务器和Samba服务器是否必须在同一个networking中? 是强制性的? 我之间有ping,但在不同的networking。 谢谢
我需要在Ubuntu 10.04.1客户端上configurationSAMBA和Winbind,以便从Windows Active Directory获取其UID,GID和主目录。 我已经安装了Windows Services for Unix,并在其中input了相关信息(例如UID,GID,shell等)。 问题是,无论我尝试什么,我都无法让winbind正确地获取这些信息并使用它。 我知道问题在于我的/etc/samba/smb.conf文件。 不幸的是,我无法find任何有关如何正确设置的文档。 下面是我的/etc/samba/smb.conf文件: [global] security = ads realm = DOMAINSERVER.COM password server = <<IP.of.domain.server>> workgroup = DOMAINSERVER winbind refresh tickets = yes idmap backend = ad ## Important winbind enum users = yes winbind enum groups = yes template homedir = /home/%U ## I tried commenting […]
目标:将Solaris 10计算机join到现有的Active Directory中。 我做的步骤: 安装的软件( http://www.sunfreeware.com上的 Samba 3.4.2) 用kinit [email protected]收到Kerberos票据 join域: net ads join -U admin-user 开始桑巴和winbind 所有步骤都可以,用klist , net getdomainsid , wbinfo -g和wbinfo -u 。 现在的问题是: getent passwd EXAMPLE+username根本没有任何返回(在另一个Solaris 10机器上工作)。 每当我请求AD公平时,就会在log.winbind中显示出来: [2010/09/07 10:51:41, 0] winbindd/winbindd.c:750(request_len_recv) request_len_recv: Invalid request size received: 2088 (expected 2096) 根据谷歌,我应该确保libnss_winbind.so运行的版本与正在运行的winbind的版本匹配 。 但是我怎么做?
我有一个windows2003服务器(WINJOE),我想备份到一个Linux机器(LINUXJOE),正确地join到域的Windows共享。 我的目标是将WINJOE的共享文件夹备份到LINUXJOE,同时保持Windows的权限/所有者。 在阅读相关文献后,我觉得这是不可能的… 无论如何,在一个理想的世界中,我想在LINUXJOE上挂载一个win共享(只读),例如\\ WINJOE \ important_folder,并从那里运行rsync到备份目录。 我到目前为止: \ WINJOE \ important_folder – >共享文件夹进行备份 LINUXJOE:/ mnt / important – >在LINUXJOE上挂载\\ WINJOE \ important_folder LINUXJOE:/ backup / $ DATE-important – >备份目标目录 目前,我能够使用我的Windows域帐户login到LINUXJOE,如果我在LINUXJOE的文件系统上创build文件,它们将所有者显示为“somewinuser”域用户“”,因此从Windows到Linux的用户映射工作正常。 当我使用以下命令安装\\ WINJOE \ important_folder时: linuxjoe# mount.cifs //WINJOE/important_folder /mnt/important \ -o ro,user=backitup,dom=TODOMAIN,cifsacl,nounix –verbose 我得到: ls -latrh linuxjoe# ls -latrh /mnt/important total 518M -r-xr-xr-x 0 root […]
我们已经在RHEL上安装了Winbind / Kerberos进行AD身份validation。 正常工作,但我注意到,当密码过期,我们得到一个警告,但shell访问仍然被授予。 处理这个问题的正确方法是什么? 一旦发现密码过期,我们可以告诉PAMclosures会话吗? 例: login as: ad-user [email protected]'s password: Warning: password has expired. [ad-user@server ~]$ /etc/pam.d/system-auth的内容: auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth sufficient pam_krb5.so use_first_pass auth sufficient pam_winbind.so use_first_pass auth required pam_deny.so account [default=2 success=ignore] pam_succeed_if.so quiet uid >= 10000000 account sufficient […]
我遇到了Samba 4和Kerberos的问题。 如果我调用kinit ,它会在获取初始凭证时写入Kerberos数据库中找不到的客户端 。 我发现,Kerberos只与用户名一起工作,但是系统标识了域名和反斜杠作为前缀的所有域用户,Kerberos不喜欢它。 $ ssh user@machine #I don't need the domain name while logging in DOMAIN\user@machine$ kinit # does not work DOMAIN\user@machine$ kinit DOMAIN\user # does work neither DOMAIN\user@machine$ kinit user # works DOMAIN\user@machine$ id uid=2010(DOMAIN\user) gid=100(users) skupiny=100(users) DOMAIN\user@machine$ getent passwd # all domain users prefixed with 'DOMAIN\' 在由ls -l打印的文件列表中也是如此: -rw-r–r– 1 […]