Мне удалось присоединить мою машину Debian (Squeeze) к существующей Active Directory (MS Windows 2008 R2 Server). Все работает нормально, я могу войти в систему, используя учетные записи из Active Directory (NTP, Kerberos, PAM, Samba и Winbind все настроены и, похоже, в хорошей форме).
Вопрос: я хочу сопоставить группы Active Directory с группами UNIX следующим образом
Я бы хотел достичь двух целей:
Каталоги и файлы, созданные любым пользователем (включая автоматически созданные домашние папки), должны иметь gid = 100
На данный момент gid = 10000 берется автоматически взятый winbind gid)
Члены группы Domain-Admins должны иметь привилегии root после входа в систему (альтернативно: быть членами группы wheel)
На данный момент члены группы Domain-Admins не являются ни участниками группы gid = 0, ни группы wheel (ее нет в моей установке Debian, но это другая проблема).
Для достижения этих целей я попытался установить следующие сопоставления
Этот подход оказался безуспешным, и предоставление SID вместо RID не помогло. Для каждого подхода я удостоверился, что кеш winbind был пуст (очистка чистого кеша) и были перезапущены службы samba и winbind.
Есть рекомендации? Ваша поддержка очень ценится! (и я знаю, что есть некоторые гуру Debian, которые решили такой сценарий ;-))
С уважением, Вольфрам
Вдобавок некоторая информация, запрошенная пользователем syneticon-dj:
SID подделаны
root@S15:~# net getdomainsid
SID for local machine S15 is: S-1-5-21-aaaaaaaaaa-bbbbbbbbbb-ccccccccc
SID for domain ITSL is: S-1-5-21-dddddddddd-eeeeeeeeee-ffffffffff
root@S15:~# net groupmap add ntgroup="Domänen-Admins" unixgroup=root rid=512 type=domain
Successfully added group Domänen-Admins to the mapping db as a domain group
root@S15:~# net groupmap add ntgroup="Domänen-Benutzer" unixgroup=users rid=513 type=domain
Successfully added group Domänen-Benutzer to the mapping db as a domain group
root@S15:~# net groupmap list
Domänen-Admins (S-1-5-21-aaaaaaaaaa-bbbbbbbbbb-ccccccccc-512) -> root
Domänen-Benutzer (S-1-5-21-aaaaaaaaaa-bbbbbbbbbb-ccccccccc-513) -> users
Мне кажется, что сопоставлены неправильные групповые учетные записи. Я имею в виду, что сопоставленные SID соответствуют SID локального компьютера, а не SID домена. В любом случае это не работает, т.е. цель №1 не достигнута.
Я не нашел ни одной опции, которая принудительно выбирает SID домена. Следовательно, я очистил карту групп и добавил сопоставление с идентификаторами безопасности группы напрямую следующим образом:
root@S15:~# net groupmap add ntgroup="Domänen-Benutzer" unixgroup=users sid="S-1-5-21-dddddddddd-eeeeeeeeee-ffffffffff-513" type=domain
Successfully added group Domänen-Benutzer to the mapping db as a domain group
root@S15:~# net groupmap list
Domänen-Benutzer (S-1-5-21-dddddddddd-eeeeeeeeee-ffffffffff-513) -> users
Этот подход тоже не работает, т.е. цель №1 не достигается.
По запросу, вот отрывки из smb.conf:
[global]
workgroup = ITSL
realm = itsl.local
security = ADS
# This machine is a member server, hence no authentication and we leave the following line commented
; domain logons = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
; winbind enum groups = yes
; winbind enum users = yes
winbind use default domain = yes
По запросу, вот отрывки из Конфигурация PAM:
Настройки Debian Squeeze по умолчанию, я ничего не изменил.
root@S15:/etc/pam.d# grep 'winbind' *
common-account:account [success=1 new_authtok_reqd=done default=ignore] pam_winbind.so
common-auth:auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
common-password:password [success=1 default=ignore] pam_winbind.so use_authtok try_first_pass
common-session:session optional pam_winbind.so
common-session-noninteractive:session optional pam_winbind.so
С уважением, Вольфрам
Вы не должны пытаться сопоставить uid
укорениться, ни gid
сюда.
Если вы предоставите администратору права root в системе, вы можете использовать sudo. Вы можете использовать группу Windows для предоставления прав sudo (администраторы домена).