Articles of winbind

我试图设置vsftpd使用我们的域login。 我希望ftp用户能够使用他们的活动目录用户名/密码login，并且能够完全访问/ media / storage / ftp / username。 我使用winbind安装pptp并且工作正常，所以我相信这个问题是vsftpd和pam。 ftp服务器运行并为login提供530。 我打开了对pam模块的debugging，但在syslog中什么也看不到。 Vsftp只在其日志中logging错误的login信息。 /etc/pam.d/vsftpd auth required pam_winbind.so debug /etc/vsftpd.conf文件 listen=YES listen_ipv6=NO connect_from_port_20=YES anonymous_enable=NO local_enable=YES write_enable=YES xferlog_enable=YES idle_session_timeout=600 data_connection_timeout=120 nopriv_user=ftp ftpd_banner=Welcome to Scantiva! Authorized access only! local_umask=022 local_root=/media/storage/ftp/$USER user_sub_token=$USER chroot_local_user=YES secure_chroot_dir=/var/run/vsftpd/empty pam_service_name=vsftpd guest_enable=YES guest_username=ftp ssl_enable=YES allow_anon_ssl=NO force_local_data_ssl=NO force_local_logins_ssl=NO ssl_tlsv1=YES ssl_sslv2=YES ssl_sslv3=YES rsa_cert_file=/etc/ssl/private/vsftpd.pem

我目前正在设置winbind / samba并获得一些问题。 我可以用wbinfotesting连通性： [root@buildmirror ~]# wbinfo -u hostname username administrator guest krbtgt username [root@buildmirror ~]# wbinfo -a username%password plaintext password authentication succeeded challenge/response password authentication succeeded 然而，当我做一个getent我没有得到任何AD帐户返回 [root@buildmirror ~]# getent passwd root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail:/sbin/nologin uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin operator:x:11:0:operator:/root:/sbin/nologin puppet:x:52:52:Puppet:/var/lib/puppet:/sbin/nologin 我的开关看起来像这样： passwd: files winbind shadow: files winbind group: files winbind #hosts: […]

我需要将FreeBSD 8.2 RELEASE p9（运行FreeNAS）导入或将Active Directory用户（或安全组）与Unix / FreeBSD组相关联。 这样，我可以在特定的文件/目录树上使用FreeBSD组的安全性，但仍然允许AD用户访问它们。 我已经尝试了一些没有运气的事情。 将用户标识放入/ etc / group文件中：即格式为“DOMAIN \ username”或“DOMAIN \ user group” 将Unix组的GID匹配到Active Directory组的RID。 据说这个工作直到今年早些时候才发布安全补丁。 使用SAMBA工具的networking组图。 （这个工作正好相反，freebsd用户最终在Active Directory组中）。 我基本上需要一个本地的Unix组，以便能够将映射为驱动器的CIFS共享与Windowsnetworking浏览器共享访问权限。 请注意，我也尝试使用FTP用户/组文件夹的符号链接（不同的驱动器几何形状）。 出于某种原因，Windows用户无法看到该文件夹​​，并且已打开Wide Links，并closures符号链接并closures了unix扩展。 没有运气。 我将在FreeNAS社区发布这个，但这似乎是一个更基本的系统configuration/pipe理问题。 我也可以在SAMBA社区之一发帖。 谢谢！

成功将我的Linux Boxjoin到Windows AD域。 想要知道从其他pipe理员，如果我们有可能指定哪些组窗口允许login？ 否则，任何有AD帐户的人都可以login。 build议？

我有两台Linux服务器连接到使用Samba / Winbind的Active Directory Windows 2008服务器，这里是我的sambaconfiguration workgroup = COMPANY realm = COMPANY.COM server string = SAMBA-AD Server security = ADS password server = 10.1.xx log level = 2 log file = /var/log/samba/log.%m max log size = 50 unix extensions = No idmap uid = 10000-20000 idmap gid = 10000-20000 template homedir = /home/%u template shell […]

我试图让我的Linux机器使用活动目录身份validation。 我相信我几乎所有的设置都正确。 我能够发出wbinfo -g和wbinfo -u ，分别查看所有组和用户。 简要介绍我的设置： 我用我的Linux机器上做用户名的用户名是nick 。 我的活动目录用户名是nwalke 。 他们有两个不同的密码。 我可以用nick和那个用户的密码login到nwalke ，我也可以用nwalke的密码login到nwalke 。 好奇的一点： 在创build活动目录用户的主目录后，我运行一个需要root权限的脚本。 这是为他们设置一些系统级的东西，比如一个samba共享。 当我以nwalke身份nwalke ，input我的nwalke密码并成功。 [sudo] password for nick: 。 如果我在这里input我的nwalke密码，它说Sorry, try again. 。 如果我input了nick的密码，那么说Sorry, user nick is not allowed to execute scriptname as root 。 如果我以nwalke身份进行nwalke ，我看到神奇的是我的用户被给予了组合。 现在，我不小心以为nick有一个100，而不是1000的UID。所以最初在我的smb.conf我有idmap uid 1000-10000 。 我能想到的唯一的事情就是我在nwalkelogin的同时仍然设置了，现在我只是被提出了一个1000的UID，迫使linux认为我是nick 。 我不确定该从哪里出发。 就像我说的，我相当确定活动目录正在与我的服务器通信，但是一定不能在linux端正确映射。 有什么想法吗？ 这是我的smb.conf ： [global] […]

我们正在考虑为我们的Mac客户端在Debian（5.0.3）上部署SMB家庭，而不是购买四个新的Xserves。 我们有我们的testing服务器build立和运作正常。 Windows客户端performance完美，但是我们遇到了OS X（10.6.x和10.5.x）的问题。 我们正在走这条路线而不是Windows文件服务器，因为这样做会产生大量的其他问题。 具体来说，如果挂载unix扩展和远程服务器绑定到AD上的SMB共享，​​find者不能保存共享上的文件，而是触摸文件，然后轰炸出一个-36 IO错误，文件夹创build是好的。 复制terminal中的文件performance良好，问题似乎仅限于取景器。 这个问题出现了（我认为），因为在使用unix扩展时远程UID / GID被传递。 OS X使用自己的winbind idmap（odsam）来计算AD用户和组的有效UID / GID，同时我们在服务器上使用了一个rid映射。 因此，发现者所select的所有权不一致。 OS X如何处理这个问题是在文件权限级别使用远程uid和gid（见下文），然后设置OS X acl来授予本地uid / gid在文件上具有适当的权限。 我认为finder触及文件（内核允许，因为ACL），然后检查文件系统的权限，并与IO错误退出。 在客户端上 fc-003353-d:homes2 root# ls -led test/ drwx——+ 2 135978 100513 16384 Feb 3 15:14 test/ 0: user:jfrench allow list,add_file,search,delete,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,writesecurity,chown,file_inherit,directory_inherit 1: group:ARTS\domain users allow 2: group:everyone allow 3: group:owner allow list,add_file,search,delete,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity,writesecurity,chown,file_inherit,directory_inherit,only_inherit 4: […]

我有相当多的Ubuntu服务器17.04主机，必须join到现有的Windows AD域（Windows Server 2016）。 我从来没有做过，但我意识到几个方法来实现这一点，如：同样，Centrify，SSSD和Winbind。 您可以分享一下您的一般经验，并告诉您这些解决scheme的可靠性，易于configuration/维护吗？ 如果你能分享任何链接到最新的文章/手册涵盖这个话题，我也只能find一对3到5岁的人，他们并没有像预期的那样工作。 非常感谢你的帮助！

我们已经在六台Centos 6服务器上成功部署了使用Samba和Winbind（idmap_ad）的AD身份validation，并且现在已经快乐地运行了几个月。 其中一台服务器已经停止parsing一个特定的用户名（＃id用户名），这个AD用户在所有其他服务器上parsing，所有其他用户在问题服务器上parsing。 我认为这可能是由于损坏的winbindd_idmap.tdb造成的。 现在，检查这个最简单的方法是停止winbind删除文件，重新启动samb并启动winbind，然后再试一次。 我的问题是，目前有一个冻结的地方，我们将不得不提出RFC等testing理论。 我的问题是：是否有可能清除winbindcaching而不重新启动服务？ 或者如果你认为这是别的东西，请随时介入！ 谢谢 更新： 更改冻结现在完成。 我删除了winbindd_idmap.tdb和winbindd_cache.tdb并重新启动了winbind。 这没有解决它。 此外，服务器不会解决随机新用户（一些它，有些则不）。 我很难解决这个问题。 谁能帮忙？

我正在使用samba / winbind / PAM路由从我们的Active Directory域对我们的Linux服务器上的用户进行身份validation。 一切正常，但我想限制哪些AD组被允许进行身份validation。 Winbind / PAM当前允许在活动目录中启用任何用户帐户，并且pam_winbind.so似乎没有注意require_membership_of=MYDOMAIN\\mygroup参数。 如果将其设置在/etc/pam.d/system-auth或/etc/security/pam_winbind.conf文件中，则无关紧要。 如何强制winbind来履行require_membership_of设置？ 使用CentOS 5.5和最新的软件包。 更新：事实certificate，PAM总是允许root通过auth，凭借它的根。 所以只要帐号存在，root就会通过validation。 任何其他帐户都受到身份validation约束。 更新2： require_membership_of似乎正在工作，除了请求用户具有根用户标识符时。 在这种情况下，不piperequire_membership_of设置如何，login都会成功。 这对任何其他帐户都不是问题。 即使当前用户是root用户，如何configurationPAM来强制进行require_membership_of检查？ 目前的PAMconfiguration如下： auth sufficient pam_winbind.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth required pam_deny.so account sufficient pam_winbind.so account sufficient pam_localuser.so account required pam_unix.so broken_shadow password ….. (excluded for […]