Winbind (форум)

Уже піднімав теми з цим питанням, проте залишилися незрозумілі моменти.
Є ділянка мережі з ADS на самби з підтримкою rfc2307, файлсервера на самби. Віндового комп'ютери в домен входять, нарікань немає. Користувачі створюються, uid встановлюються. Після деяких поневірянь почав відпрацьовувати wbinfo (-t і -a заробили під рутом, до чого не відразу дотупіл).
Дослідним шляхом і по логам обчислив, що без явного вказівки домена в idmap:

і вказівки діапозона для дефолту:

щастя не буде.
При спробі причепити backend = ad відвалюються в getent group всі доменні групи. Притому getent passwd працює повністю, включаючи uid і gid. Та ж історія з id DOMAIN \\ user. Членство в групах коректно.
І nis-групи в AD прописані, і звичайні віндового групи (судячи мо матеріалами з оф. Сайту winbind відпрацьовує саме по ним). schema_mode пробував всі три варіанти.
Загалом пояснення не знайшов. Самба права на ресурси ні перетворювати відмовилася. Забив.

Плюючи і матюкаючись вирішив пересісти на idmap_rid і воно раптово завелося! Але знову не без косяка. У getent group не вказується зв'язка група-користувач, якщо група у нього основна. Розслідування показало відсутність такої зв'язки в LDAP на контролері, тільки вказано id основної групи. Судячи з того, що на винда проблем немає, це таки не баг, а фіча.
Можна, звичайно, створити групу для дефолту, а в файл-сервері її задавити через force group (права і так по acl), але імхо милицю.
Поки працює, але в чому справа знати хотілося б. Може хто стикався?

відпрацьовують правильно, виводячи інформацію про користувачів і групи домену.

Підозрюю, що це можна реалізувати, використовуючи Samba + PAM + Winbind. Робив так:

Створив файл /etc/pam.d/dovecot такого змісту:

В налаштуваннях поштового клієнта Microsoft Outlook в поле ПОЛЬЗОВАТЕЛЬ пишу (user - ім'я користувача в домені, [email protected] - це значення поля UserPrincipalName в AD):

У поштовому клієнті поле пароль не заповнюється (адже це і є мета!). У підсумку, після спроби отримати пошту, в / var / log / maillog бачу наступне:

Я так розумію, що пароль надана не був і аутентифікація не трапилася. Знаходив в Інтернеті згадки, що така схема працює, але, на жаль без подробиць. Все, що знайшов - реалізував, проте цього недостатньо. Як зробити так, щоб було надано пароль поточної доменної сесії? Чого саме не вистачає або де у мене помилка поки не зрозумів. Прошу допомогти і направити в потрібному напрямку. Дякуємо!

Доброго вам дня. Вже писав з приводу кешування в вінбінде (тут). Це, звичайно, теж не гуд, але жити було можна. Після поновлення на абсолютно однакових серверах (хіба що один фізичний, а інший під Ксенія) відвалився вінбінд, але по-різному. На одному через wbinfo все прекрасно видно, ntlm_auth теж відпрацьовує, а в nss тільки локальні учеткі. На другому сервері немає навіть цього. Домен робочий, перевірено. Бібліотеки libnss-winbind (а також для pam) встановлені, навіть про всяк випадок прописав лінки в / lib, в nsswitch.conf все прописано. Перерив все, до чого дотягнувся, ні натяку на таку ситуацію. Або десь повинен бути повний правильний придатний мануал, або winbind дико глючная штука. Ну або я знову чогось не зрозумів.

Згадав про підтримку юніксових id в домені. Чи не є nis повнофункціональної заміною winbind'у?

Доброго дня. Використовую зв'язку samba + winbind + squid Підкажи будь ласка, як при рестарт winbind, дати права на директорію winbindd_privileged автоматично? я змінив фаил /etc/init.d/winbind

але не допомагає, намагався вписати рядок:

такий же результат. підкажи, що потрібно вписати в /etc/init.d/winbind, що б при рестарт на папку / var / run / samba / winbindd_privilege видавалися права групі proxy?

Є результати challenge, що прийшов у відповідь auth, а так само реальний пароль / username на стороні сервера (в MySQL). Потрібно встановити, чи був введений правильний пароль чи ні.

Я б з радістю скористався ntlm_auth з пакета winbind, але от лихо:

ntlm_auth uses winbind to access the user and authentication data for a domain

Тобто ntlm_auth прибитий цвяхами до бази winbind.

На жаль, специфіка завдання така, що повернути щось з конфігурацією winbind - це абсолютно ні в які ворота не годиться. Чи є що-небудь в цьому ж дусі, але просто приймає реальний логін / пароль на вході?

є linux samba \ winbind + ad З AD кілька груп замаченни в локальні

приклад: net groupmap add sid = S-1. unixgroup = admin

якщо зробити net cache flush то маппинг злітає, тобто заходимо під користувачем з домену, а у нього відображаються доменні групи

(Id uid = 103743 (usertest) gid = 20513 (domain users group))

якщо видалити мапіінг і створити заново, то групи відображають коректно до наступного скидання кешу

id uid = 103743 (usertest) gid = 500 (admin)

як зробити так, щоб скидання \ старіння кешу не впливав на mapping груп?