我们正准备将Winbind / Samba添加到一些CentOS服务器。 UNIX的身份pipe理运行在我们的DC上,到目前为止testing结果都很好。 有一种情况我遇到了问题,而且我很确定它是在UID范围内的/etc/pam.d/system-auth中解决的。 我不能在需要的特定线路上找零。 这是情景: 我们通过Puppet部署三个本地用户; 他们必须能够在DCclosures时login。 他们需要是纯粹的本地用户。 这些用户的本地用户名与他们的AD相同(例如,jsmith是CentOS本地用户的名称,而jsmith也是同一用户的AD用户名) 当jsmithlogin时,首先需要在本地查找该用户。 本地用户通常是UID 500,我们的AD / Winbind用户是> UID 10000。
成功编译并安装了最新版本的samba。 开始winbindd和以下诊断命令的工作: wbinfo -p , wbinfo -c , net ads testjoin等… 然而! 当使用像id这样的内置Linux命令或者当使用pam和pam_winbind模块login时。 他们失败了,日志中没有提到winbind。 可能是什么问题? 例如[root ~]# wbinfo -i testuser testuser:*:10708:1513:Test User:/home/domain.ad/testuser:/bin/bash [root ~]# wbinfo -i testuser testuser:*:10708:1513:Test User:/home/domain.ad/testuser:/bin/bash 但是! [root ~]# id testuser id: testuser: No such user 注意:之前的版本(samba 3.5.x)在我们的系统上运行良好,所以它不是不好的域或configuration。 /etc/nsswitch.conf中: passwd: files winbind shadow: files winbind group: files winbind hosts: files dns wins […]
可以configuration使用RADIUS身份validation的路由器和交换机,只要RADIUS服务器可用,就可以为本地configuration的用户禁用login。 如果RADIUS服务器不可用,它们将回退到允许以本地configuration的用户身份login。 使用winbind来authenticationActive Directory用户的Linux机器可以达到同样的效果吗? 我有一种感觉,可以用正确的PAMconfiguration来完成,但是我在PAM的学习曲线上并不是很远。
我configuration了我的Linux机器(运行CentOS 5.2),以对运行Active Directory的Windows服务器进行身份validation。 我甚至启用winbind脱机login。 一切都按预期工作,但是我也打算为winbind身份validationcaching强加一个TTL。 到目前为止,我发现的是从samba文档的下面的片段 winbindcaching时间(G) 此参数指定在再次查询Windows NT服务器之前,winbindd(8)守护程序将caching用户和组信息的秒数。 * 这不适用于身份validation请求* ,除非已启用winbind脱机login选项,否则它们将始终进行实时评估。 默认值:winbindcaching时间= 300 显然winbindcaching时间参数不控制authentication请求的cachingTTL。 有没有其他的方式可以实现winbind身份validation请求caching超时? 谢谢
当使用Windows AD对Linux服务器上的用户进行身份validation时,使用Winbind和“join域”只需通过Kerberos进行身份validation并在LDAP中查找UID,GID,主目录等,是否有优势?
我正计划迁移一些Linux服务器,以通过SAMBA / Winbind使用AD身份validation。 操作系统将是openSUSE 11.3 x64。 我们的AD环境没有安装UNIX扩展。 我从头开始build立一个服务器,它似乎工作得很好。 openSUSE的安装程序在感觉到AD和设置所有必要的configuration文件方面做得非常出色。 不过,我自己也设置了一些Winbind选项。 我的工作configuration: [global] workgroup = DOMAIN passdb backend = tdbsam map to guest = Bad User include = /etc/samba/dhcp.conf usershare allow guests = No idmap gid = 10000-20000 idmap uid = 10000-20000 realm = DOMAIN.INST.ORG security = ADS template homedir = /home/%D/%U template shell = /bin/bash […]
如何设置我的Linux机器,以便在Active Directory域控制器closures的情况下,仍然可以以超级用户身份login,而不会有任何超时或延迟? 以下列出大部分文档的示例,我已经在/etc/pam.dconfiguration中的pam_unix.so之前列出了pam_winbind.so 。 我相信这是问题的原因。 我记得看到备用/etc/pam.d设置,改变顺序,并可能添加pam_localuser或pam_succeed_if (看是否小于500),但我现在找不到任何细节(我还不够的PAM专家,可以快速,轻松地自行提供强大的configuration)。 如果Active Directory不可用,build议使用Winbind的PAM以避免超时和延迟?
在使用Samba(版本4.3.8)/ WinBind和Kerberos的Windows Server 2008 R2上,连接到AD的Ubuntu Server 14.04(文件服务器)存在问题。 问题是用户在其个人文件夹中没有写入权限。 我们还注意到,当使用wbinfo -u时,输出不会给出错误,但会产生一个空列表,甚至不会显示本地用户。 但是,wbinfo -g正确显示AD组。 这个设置一直工作到昨天。 我们build立了另一个新鲜的Ubuntu服务器configuration相同,并产生了相同的问题。 join并信任与AD工作正常: net ads join -U administrator Enter administrator's password: Using short domain name — NTB Joined 'UBUNTUTEST' to dns domain 'NTB.local' 任何想法可能是什么问题,或者我们如何进一步排除故障?
我们目前有一个NAC服务器设置为使用ntlm_auth实用程序对Samba4 AD进行身份validation,并希望使其更容忍networking中断。 目前,当NAC失去与Samba4 Active Directory的连接时,每个login尝试都失败。 这种情况曾经是可以接受的,但现在我们的networking拓扑结构已经发生了变化,问题变得更加严重 根据Samba文档,我在NAC的smb.conf和Samba4 AD中添加了“winbind offline logon = true”。 为了testing脱机身份validation,我添加了两个iptables规则,将所有stream量都删除到Samba4 Active Directory服务器。 当我尝试使用winbind进行身份validation时,它按预期工作: 16:52:11-root@hq-networkserv@- /var/log/samba: wbinfo -K COMPANY\\super-user%superpassword plaintext kerberos password authentication for [COMPANY\super-user%superpassword] succeeded (requesting cctype: FILE) user_flgs: NETLOGON_CACHED_ACCOUNT credentials were put in: FILE:/tmp/krb5cc_0 另一方面,如果我使用以下选项尝试使用ntlm_auth,则失败: 16:52:35-root@hq-networkserv@- /var/log/samba: ntlm_auth –use-cached-creds –username=super-user –password=superpassword –domain= COMPANY NT_STATUS_NO_LOGON_SERVERS: No logon servers (0xc000005e) NAC服务器连接到Samba4域,只要保持连接,一切都可以正常工作。 我明白,这个build议的解决scheme只允许authentication以前authentication的客户端,但这已经是一个很大的改进。 有没有什么办法可以让ntlm_auth在无法连接到AD的期间成功进行身份validation,因为winbind能够做到这一点?
我设法join我的Debian机器(Squeeze)到现有的活动目录(MS Windows 2008 R2服务器)。 一切工作正常,我可以login使用Active Directory帐户(NTP,Kerberos,PAM,Samba和Winbind都configuration好,看起来状态良好)。 问题:我想将Active Directory组映射到UNIX组,如下所示 域pipe理员(RID 512) – > root(gid 0) 域用户(RID 513) – >用户(gid 100) 我想实现两个目标: 由任何用户创build的目录和文件(包括自动创build的主文件夹)应该有gid = 100 此刻gid = 10000,winbind采取的自动gid被采取) 域pipe理员组成员login后应具有root权限(或者:是wheel组的成员) 目前,Domain-Admins组的成员既不是gid = 0的成员,也不是轮盘组(在我的Debian安装中不存在,但这是另一个问题)。 为了实现这些目标,我试图设置下面的映射 net groupmap add ntgroup =“Domänen-Admins”unixgroup = root rid = 512 type = domain net groupmap add ntgroup =“Domänen-Benutzer”unixgroup = users rid = 513 type […]