Задний план:
В изолированной сети. Несколько систем Linux RHEL6 подключены к контроллеру домена Windows 2012R2. Системы подключены к домену и проходят аутентификацию с помощью DC. Использование IDMAP_RID. Нет известных изменений в файлах конфигурации Windows или Linux. Все работало несколько лет и совсем недавно перестало. На стороне Windows произошли изменения в конфигурации безопасности, но эти изменения плохо отслеживаются. Я бы попросил этих админов посмотреть на что-нибудь конкретное. Поддержка RH была не очень полезной.
ВЫПУСК:
Некоторое время в прошлом месяце большинство пользователей перестали отображать правильную информацию о группе. Все пользователи автоматически становятся членами «Пользователи домена», поскольку это группа окон по умолчанию. Почти все пользователи входят в созданную мной группу безопасности AD с именем «Program Users». Когда я выполняю «id» или «groups» для всех учетных записей, отображается только членство в «Domain Users» и ни в одной из других групп. Для команды "id" иногда она показывает группу более одного раза.
id возвращает:
uid=###(username) gid=###(domain user) groups=###(domain user) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
wbinfo -u и wbinfo -g возвращает правильный список всех пользователей и групп
getent group Program \ Users (и wbinfo --group-info) возвращает:
Program users:*:GID#:comma separated list of users
список пользователей правильный и включает пользователей с недостающими данными.
wbinfo -r не возвращает правильный список.
Я пробовал очистить /var/lib/samba/*.tdb, но это не помогает.
Некоторые данные конфигурации:
SMB.CONF:
[global]
workgroup = DOMAIN0
password server = server0.DOMAIN0.LOCAL
realm = DOMAIN0.LOCAL
security = ads
idmap config * : backend = tdb
idmap config * : range = 300000-399999
idmap config DOMAIN0:backend = rid
idmap config DOMAIN0:range = 100000-199999
idmap config DOMAIN0:base_rid = 0
template shell = /bin/bash
winbind enum users = no
winbind enum groups = no
winbind separator = +
winbind use default domain = yes
winbind offline logon = false
kerberos method = secrets and keytab
client signing = mandatory
server signing = mandatory
NSSWITCH.CONF:
passwd: files winbind
shadow: files winbind
group: files winbind
hosts: files dns
SYSTEM-AUTH:
auth required pam_env.so
auth sufficient pam_fprintd.so
auth sufficient pam_unix.so try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth sufficient pam_winbind.so use_first_pass
auth [default=die] pam_faillock.so authfail deny=3 unlock_time=604800 fail_interval=900
auth required pam_faillock.so authsucc deny=3 unlock_time=604800 fail_interval=900
auth required pam_deny.so
account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account [default=bad success=ok user_unknown=ignore] pam_winbind.so
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3 minlen=14 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 difok=4 remember=24 maxrepeat=3
password sufficient pam_unix.so sha512 shadow try_first_pass use_authtok
password sufficient pam_winbind.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session required pam_lastlog.so showfailed
session optional pam_oddjob_mkhomedir.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
REQUEST-KEY.CONF
#OP TYPE DESCRIPTION CALLOUT INFO PROGRAM ARG1 ARG2 ARG3 ...
#====== ======= =============== =============== ===============================
create user debug:* negate /bin/keyctl negate %k 30 %S
create user debug:loop:* * |/bin/cat
create user debug:* * /usr/share/keyutils/request-key-debug.sh %k %d %c %S
negate * * * /bin/keyctl negate %k 30 %S
create cifs.spnego * * /usr/sbin/cifs.upcall %k
create cifs.idmap * * /usr/sbin/cifs.idmap %k
create dns_resolver * * /usr/sbin/cifs.upcall %k
KRB5.CONF
[libdefaults]
default_realm = DOMAIN0.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
DOMAIN0.LOCAL = {
kdc = server0.DOMAIN0.LOCAL
}
Вы нашли решение? Решение кажется
wbinfo -a user%passwd
Не спрашивайте меня почему.