При попытке настроить Linux-сервер для аутентификации пользователей в корпоративном активном каталоге мы столкнулись с проблемой. Мы используем SAMBA, winbind, krb5 и PAM.
Проблема возникает при попытке вывести список пользователей из системы. winbind пытается найти их во всех доверенных доменах филиалов компании. Поскольку к ним нельзя получить доступ с сервера linux, мы получаем тайм-аут.
Как мы можем указать samba или winbind искать пользователей только в родительском домене и избегать остальных?
Мы хотим пользователей из company.com но не из branch1.comapny.com.
РЕДАКТИРОВАТЬ:
Версия SAMBA - 3.0.33 на RH4.
Похоже на эту функциональность регрессировал с Samba до 3.0.26. Был предложен патч и это было повторно добавлен в Samba 3.3.
Если вы готовы самостоятельно исправить исходный код Samba, есть патч "только домены", который является обратным "игнорировать домены".
На самом деле у меня есть эта установка на моей рабочей станции Ubuntu в офисе, поэтому мне не нужно использовать Windows, но я все еще аутентифицируюсь вне доменов AD. У нас есть несколько доверенных доменов, поэтому я ограничился нашим основным доменом AD, используемым для входа на рабочие станции. Я считаю, что нашел все соответствующие записи, поэтому, если у вас возникнут проблемы, дайте мне знать, и я буду искать других отставших, которые могут быть разбросаны в конфигурации.
idmap uid = 2000-50000000
idmap gid = 2000-50000000
idmap backend = rid:DOMAIN=2000-50000000
template shell = /bin/bash
template homedir = /home/%D/%U
winbind use default domain = yes
allow trusted domains = No
password server = FQDN-of-AD-Server
use kerberos keytab = true
Кроме того, я должен был быть уверен, что Samba и Winbind запускались почти последними, чтобы иметь возможность пройти аутентификацию после перезагрузки системы.
Вы можете добавить эту опцию в smb.conf:
allow trusted domains = no