Назад | Перейти на главную страницу

Сопоставление идентификаторов с помощью SSSD и SMB

Я пытаюсь заставить общий ресурс samba работать с правильными идентификаторами на клиентах Windows (SID) и Linux (uid / gid). Проблема в том, что идентификаторы uid и gid не отображаются должным образом на идентификаторы безопасности, а идентификаторы безопасности не разрешаются в имена. Что могло привести к этой проблеме и как ее исправить?

Что работает

Что не работает

Окружение / Конфигурация

sssd.conf:

[sssd]
domains = domain.company.com
config_file_version = 2
services = nss, pam

[domain/domain.company.com]
realmd_tags = manages-system joined-with-adcli
ad_domain = domain.company.com
krb5_realm = DOMAIN.COMPANY.COM

id_provider = ad
cache_credentials = True
krb5_store_password_if_offline = True
enumerate = True
use_fully_qualified_names = False

fallback_homedir = /home/%d/%u
default_shell = /bin/bash

# use uid and gid from active directory
ldap_id_mapping = False

# needed to use correct active directory properties (Windows Server 2003)
ldap_schema = ad
ldap_user_object_class = person
ldap_user_name = msSFU30Name
ldap_user_uid_number = msSFU30UidNumber
ldap_user_gid_number = msSFU30GidNumber
ldap_user_home_directory = msSFU30HomeDirectory
ldap_user_shell = msSFU30LoginShell
ldap_user_gecos = displayName
ldap_group_object_class = group
ldap_group_name = msSFU30Name
ldap_group_gid_number = msSFU30GidNumber

smb.conf (настройки из стандартного конфигурационного файла с отступом):

[global]
server role = member server
workgroup = DOMAIN
realm = DOMAIN.COMPANY.COM
security = ads
password server = dc1.domain.company.com # shouldn't be necessary and same problem without this line
idmap config * : backend = tdb
idmap config * : range = 100000-999999
idmap config DOMAIN : backend = ad
idmap config DOMAIN : range = 10000-20000 # the UNIX attributes are manually assigned in this range
kerberos method = secrets and keytab

    server string = %h server (Samba, Ubuntu)

    dns proxy = no

    log file = /var/log/samba/log.%m
log level = 10
    max log size = 1000
    syslog = 0

    panic action = /usr/share/samba/panic-action %d

    passdb backend = tdbsam
    obey pam restrictions = yes
    unix password sync = yes
    passwd program = /usr/bin/passwd %u
    passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
    pam password change = yes

    map to guest = bad user

    usershare allow guests = yes

# needed for Windows ACL/ACE
vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes

[test]
    path = /srv/samba/test
    writable = yes

TL; DR: Почему атрибуты UNIX не разрешаются в SID и почему SID не разрешаются в имена?

я использую use_fully_qualified_names = True в sssd.conf он работает без пакета winbind.

Ответ на этот вопрос заключается в бэкэндах отображения идентификаторов, используемых в Samba и SSSD. Winbind «избавиться» и «автоматически избавиться» от Samba не сопоставляет идентификатор безопасности Windows с номерами uid / gid так же, как это делает SSSD. Поэтому, если ваш сервер CIFS присоединен к домену с помощью Samba / winbind, а ваши клиенты подключены через SSSD с параметрами по умолчанию, сопоставление идентификаторов завершится ошибкой.

SSSD имеет настройку ldap_idmap_autorid_compat что вы можете установить на True в файле sssd.conf, который (должен): "Изменяет поведение алгоритма сопоставления идентификаторов, чтобы он больше походил на алгоритм winbind «idmap_autorid»."и тем самым позвольте вашим клиентам SSSD решить эту проблему.

У меня такая же ситуация. И исправил, установив samba-winbind. Я думаю, что основная причина в том, что самба не знает, как правильно искать имя. Когда вы устанавливаете winbind, smbd будет использовать winbind для разрешения имен. В противном случае он просто использует Linux UID, GID, поэтому вы видели Unix User / Unix Group в Windows.

Я не мог объяснить больше, но надеюсь, что это поможет вам.