服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 与SSSD和SMB的ID映射
Intereting Posts
将服务器进程的X11 GUIdynamic转发到login的dev机器上 在Windows中为VPN连接指定端口号的正确方法是什么? 为什么我的ZFS池不能在Linux上使用ZFS扩展? 在云端模板中保存可重用的块 503错误:服务暂时不可用(Mod_wsgi,Apache,Django) ps -aux中的CPU百分比大于100 ./pox.py log.level –DEBUG forwarding.l2_learning不按预期方式工作 DHCP IP租约超时会导致奇怪的networking丢失? 如何移动$ MFTMirr的物理位置,以允许调整分区大小? 在networking文件系统断开连接后继续写入文件 Apache .htaccess文件限制对文件的访问,除非从某个url加载 Subversion COPY / MOVE – File not found:transaction'XXX-XX' 共享Exchange Server电子邮件…不在PST中,不在公用文件夹中 如果主服务器closures,则configuration辅助DNS工作(绑定) 如何在R-Shiny-server 1.4上禁用SSLv3

与SSSD和SMB的ID映射

我试图在Windows(SID)和Linux(uid / gid)客户端上使用正确的ID进行samba共享。 问题在于uid和gid没有正确映射回SID,而SID也没有parsing为名称。 什么可能导致这个问题,如何解决?

什么工作

  • 从Active Directory UNIX属性映射到Linux上的uid / gid
  • 获得股份
    • Windows:资源pipe理器中的UNC-Path,Kerberos票证被接受(对于凭证无疑问)
    • Linux: sudo mount -t cifs //ribonas2/test /mnt/ribonas2/smb/ -o domain=DOMAIN,username=paul.jaehne
  • 处理共享上的文件

什么都行不通

  • 在Windows上创build的文件具有Unix User\Unix Group\ (UNIX uid和gid在打开安全选项卡时很短的时间内也可见),而不是DOMAIN\作为用户和组的前缀
  • 添加权限是有缺陷的:我可以添加领域的主体,不久之后DOMAIN\whatever显示正确。 当我等待一段时间或查看另一台计算机的共享时,只显示SID(SID是正确的,但不parsing名称):

看照片

Environement /configuration

  • 我使用了以下指南(由于声誉要求,无法添加真实链接):
    • Ubuntu 16.04 SAMBA文件服务器指南
    • Ubuntu 16.04 SSSD AD指南
    • SAMBA维基域成员
    • SAMBA wiki ACL
  • 多个域控制器(Windows Server 2003和Windows Server 2012 R2)
  • Windows Server 2003中的Active Directory架构
  • Ubuntu服务器16.04
    • SSSD 1.13.4-1ubuntu1.1
    • SMB 2:4.3.8 + dfsg-0ubuntu1
    • join了realm joinnet ads join

sssd.conf

 [sssd] domains = domain.company.com config_file_version = 2 services = nss, pam [domain/domain.company.com] realmd_tags = manages-system joined-with-adcli ad_domain = domain.company.com krb5_realm = DOMAIN.COMPANY.COM id_provider = ad cache_credentials = True krb5_store_password_if_offline = True enumerate = True use_fully_qualified_names = False fallback_homedir = /home/%d/%u default_shell = /bin/bash # use uid and gid from active directory ldap_id_mapping = False # needed to use correct active directory properties (Windows Server 2003) ldap_schema = ad ldap_user_object_class = person ldap_user_name = msSFU30Name ldap_user_uid_number = msSFU30UidNumber ldap_user_gid_number = msSFU30GidNumber ldap_user_home_directory = msSFU30HomeDirectory ldap_user_shell = msSFU30LoginShell ldap_user_gecos = displayName ldap_group_object_class = group ldap_group_name = msSFU30Name ldap_group_gid_number = msSFU30GidNumber

smb.conf (来自标准configuration文件的设置缩进): 

 [global] server role = member server workgroup = DOMAIN realm = DOMAIN.COMPANY.COM security = ads password server = dc1.domain.company.com # shouldn't be necessary and same problem without this line idmap config * : backend = tdb idmap config * : range = 100000-999999 idmap config DOMAIN : backend = ad idmap config DOMAIN : range = 10000-20000 # the UNIX attributes are manually assigned in this range kerberos method = secrets and keytab server string = %h server (Samba, Ubuntu) dns proxy = no log file = /var/log/samba/log.%m log level = 10 max log size = 1000 syslog = 0 panic action = /usr/share/samba/panic-action %d passdb backend = tdbsam obey pam restrictions = yes unix password sync = yes passwd program = /usr/bin/passwd %u passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* . pam password change = yes map to guest = bad user usershare allow guests = yes # needed for Windows ACL/ACE vfs objects = acl_xattr map acl inherit = yes store dos attributes = yes [test] path = /srv/samba/test writable = yes

TL; DR :为什么不将UNIX属性parsing为SID,为什么SID不parsing为名称?

我有同样的情况。 我通过安装samba-winbind来修复它。 我认为,根源是桑巴不知道如何正确查找名称。 当您安装winbind时,smbd将使用winbind进行名称parsing。 否则,它只是使用Linux的UID,GID,这就是为什么你在Windows中看到Unix用户/ Unix组。

我无法解释更多,但希望这可以帮助你。