Еще во времена samba-winbind 4.4 вы могли установить оболочку шаблона и каталог шаблонов по умолчанию для пользователей AD, но переопределить эти значения по умолчанию с помощью rfc2307. Это было полезно, потому что мы могли позволить обычным пользователям получать доступ к базам данных с их учетными данными домена, но не позволять им получать доступ к оболочке (установив для оболочки шаблона значение / sbin / nologin), переопределяя оболочку шаблона с помощью rfc2307 для опытных пользователей. Это было особенно полезно, потому что я мог установить шаблон в / sbin / nologin на производственных узлах, но установить его на / usr / bin / bash на узлах разработки, где это полезно и подходит для этих пользователей (особенно разработчиков), чтобы получить доступ к оболочке. Краткое описание того, как это было сделано, можно найти. Вот.
Однако в samba-winbind-4.8-3 (и, действительно, в версии 4.6 или новее) параметры smb.conf для поддержки rfc2307 значительно изменились (см. Вот), и я не могу заставить работать описанную выше конфигурацию. Теперь кажется, что все или ничего. Я могу либо настройте его так, чтобы он использовал шаблон для все и игнорирует rfc2307, или так что он использует rfc2307 для всех в домене и отвергает любые пользователи, у которых нет профиля rfc2307, определенного в AD.
Наше предприятие достаточно маленькое, чтобы мы мог определить rfc2307 для всех, но это не позволяет нам иметь пользователей, которым разрешен доступ к оболочке на одних хостах, но не на других (поскольку оболочка rfc2307 применяется на уровне всего домена).
Кто-нибудь смог расколоть этот орех? Есть ли способ съесть и мой торт? Неужели у меня нет зацикленных метафор?