Назад | Перейти на главную страницу

Компьютер с Linux (Debian) в домене Windows Active Directory, администратор AD должен иметь права root после входа в систему

Мне удалось присоединить мою машину Debian (Squeeze) к существующей Active Directory (MS Windows 2008 R2 Server). Все работает нормально, я могу войти в систему, используя учетные записи из Active Directory (NTP, Kerberos, PAM, Samba и Winbind все настроены и, похоже, в хорошей форме).

Вопрос: я хочу сопоставить группы Active Directory с группами UNIX следующим образом

Я бы хотел достичь двух целей:

  1. Каталоги и файлы, созданные любым пользователем (включая автоматически созданные домашние папки), должны иметь gid = 100

    На данный момент gid = 10000 берется автоматически взятый winbind gid)

  2. Члены группы Domain-Admins должны иметь привилегии root после входа в систему (альтернативно: быть членами группы wheel)

    На данный момент члены группы Domain-Admins не являются ни участниками группы gid = 0, ни группы wheel (ее нет в моей установке Debian, но это другая проблема).

Для достижения этих целей я попытался установить следующие сопоставления

Этот подход оказался безуспешным, и предоставление SID вместо RID не помогло. Для каждого подхода я удостоверился, что кеш winbind был пуст (очистка чистого кеша) и были перезапущены службы samba и winbind.

Есть рекомендации? Ваша поддержка очень ценится! (и я знаю, что есть некоторые гуру Debian, которые решили такой сценарий ;-))

С уважением, Вольфрам


Вдобавок некоторая информация, запрошенная пользователем syneticon-dj:

SID подделаны

root@S15:~# net getdomainsid
SID for local machine S15 is: S-1-5-21-aaaaaaaaaa-bbbbbbbbbb-ccccccccc
SID for domain ITSL is: S-1-5-21-dddddddddd-eeeeeeeeee-ffffffffff
root@S15:~# net groupmap add ntgroup="Domänen-Admins" unixgroup=root rid=512 type=domain
Successfully added group Domänen-Admins to the mapping db as a domain group
root@S15:~# net groupmap add ntgroup="Domänen-Benutzer" unixgroup=users rid=513 type=domain
Successfully added group Domänen-Benutzer to the mapping db as a domain group
root@S15:~# net groupmap list
Domänen-Admins (S-1-5-21-aaaaaaaaaa-bbbbbbbbbb-ccccccccc-512) -> root
Domänen-Benutzer (S-1-5-21-aaaaaaaaaa-bbbbbbbbbb-ccccccccc-513) -> users

Мне кажется, что сопоставлены неправильные групповые учетные записи. Я имею в виду, что сопоставленные SID соответствуют SID локального компьютера, а не SID домена. В любом случае это не работает, т.е. цель №1 не достигнута.

Я не нашел ни одной опции, которая принудительно выбирает SID домена. Следовательно, я очистил карту групп и добавил сопоставление с идентификаторами безопасности группы напрямую следующим образом:

root@S15:~# net groupmap add ntgroup="Domänen-Benutzer" unixgroup=users sid="S-1-5-21-dddddddddd-eeeeeeeeee-ffffffffff-513" type=domain
Successfully added group Domänen-Benutzer to the mapping db as a domain group
root@S15:~# net groupmap list
Domänen-Benutzer (S-1-5-21-dddddddddd-eeeeeeeeee-ffffffffff-513) -> users

Этот подход тоже не работает, т.е. цель №1 не достигается.

По запросу, вот отрывки из smb.conf:

[global]
    workgroup = ITSL
    realm = itsl.local
    security = ADS
    # This machine is a member server, hence no authentication and we leave the following line commented
    ; domain logons = yes

    idmap uid = 10000-20000
    idmap gid = 10000-20000
    template shell = /bin/bash

    ;   winbind enum groups = yes
    ;   winbind enum users = yes

    winbind use default domain = yes

По запросу, вот отрывки из Конфигурация PAM:

Настройки Debian Squeeze по умолчанию, я ничего не изменил.

root@S15:/etc/pam.d# grep 'winbind' *
common-account:account   [success=1 new_authtok_reqd=done default=ignore] pam_winbind.so
common-auth:auth         [success=1 default=ignore]                       pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
common-password:password [success=1 default=ignore]                       pam_winbind.so use_authtok try_first_pass
common-session:session   optional                                         pam_winbind.so
common-session-noninteractive:session   optional                          pam_winbind.so

С уважением, Вольфрам

Вы не должны пытаться сопоставить uid укорениться, ни gid сюда.

Если вы предоставите администратору права root в системе, вы можете использовать sudo. Вы можете использовать группу Windows для предоставления прав sudo (администраторы домена).