У меня есть сервер Redhat ES 6, который успешно присоединен к домену через Winbind (т.е. я могу без проблем войти на сервер Redhat, используя учетные данные домена).
На этом этапе я хочу настроить Winbind для автоматического добавления пользователей в локальную группу на основе их доменной группы. Так, например, предположим, что мое имя пользователя в домене - «ДОМЕН \ coledot», и я являюсь членом группы домена «Произвольная группа». В моем файле / etc / group на машине Redhat у меня определена локальная группа testgrp:
testgrp:x:10506:
Если мое понимание Документация по карте групп Samba / Winbind правильно, я должен иметь возможность сопоставить локальную группу "testgrp" с группой домена "Arbitrary Group" с помощью net groupmap
команда:
net groupmap add ntgroup="Arbitrary Group" unixgroup=testgrp type=d
Бег net groupmap list
подтверждает, что отображение создано:
root@host # net groupmap list
[...]
Arbitrary Group (S-x-x-xx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxx-xxxx) -> testgrp
Однако когда я запускаю groups
команда, хотя мой пользователь отображается как часть группы «Произвольная группа», «testgrp» нигде не найти.
У меня двоякий вопрос:
1) Я понимаю net groupmap
верный?
2) Как я могу выполнить свою первоначальную задачу (сопоставить пользователя домена с локальной группой через группу домена)?
Я считаю, что вы можете сделать это в файле /etc/samba/smb.conf. Если ваши локальные разрешения Linux верны, вы можете использовать строку «force group», чтобы убедиться, что вы подключаетесь с правильным членством в группе. Людей сбивает с толку то, что пользователь уже может быть членом локальной группы Linux, но что касается SMB, то здесь важна группа, которую вы «подключаетесь как» из Windows.
EXAMPLE:
[someshares]
path=/path/to/someshares
writable = yes
browsable = yes
valid users = @somegroup
create mask = 0775
force create mode = 0775
directory mask = 0775
force group = somegroup
AFAIK это сопоставление групп SMB с группами Linux выполняется только на контроллере домена. Рядовые серверы делают это автоматически (глобально по LDAP или локально по idmap).
Я просто попытался добавить пользователя winbind в локальную группу через usermod. Это не удалось. Возможно, пользователем полностью управляют файлы или полностью winbind (имеется в виду nsswitch.conf), но не оба одновременно.
Если это сработает, вы можете получить участников группы через «getent group» и добавить их в локальную группу. Это можно было бы делать регулярно (если у вас нет доступа к DC) и оставило бы проблематичным только время между созданием учетной записи на DC и первым доступом к рядовому серверу (если этот доступ будет до следующей регулярной проверки).