Аутентификация Active Directory Samba/Winbind, поврежденная после обновления 14,04
Я был на рабочем столе Ubuntu 12.04 и соединил его с доменом с помощью samba/winbind/krb5 - работавший отлично без любых проблем, я мог войти в систему свой comptuer использование моей активной учетной записи каталога. Я обновил до 14,40, и это, кажется, повредилось. Кажется, что 14.04 обновил до Samba4, и я не уверен, является ли это проблемой или нет. Я внес несколько изменений в свой smb.conf файл, которые, кажется, изменения Samba4 - и это позволяет мне соединять с доменом с помощью-U имени пользователя соединения сетевой рекламы - хорошо работает..., мой компьютер соединен с доменом - и я могу получить билет с помощью kerberos и видеть, что это допустимо. Однако, когда я выхожу из своей локальной учетной записи и пытаюсь войти в использовании моей учетной записи домена, это всегда говорит мне неверный пароль. какие-либо идеи? после выполнения testparm на моем smb.conf файле, это сказало мне, что idmap uid и idmap ценуроз больше не используются...., и это также сказало мне, что "security=ads", объединенный с "сервером пароля", не должен быть объединен. Я задаюсь вопросом, является ли это проблемой.
править: возможно имеет некоторое отношение к моим pam.d файлам - я просто сделал чистую установку 14,04 и не могу войти в систему...., она даже не просит у меня мой пароль..., который уходит, если я возвращаюсь к значению по умолчанию pam, файлы - вот то, что я имею
/etc/pam.d/common-account:
account sufficient pam_winbind.so
account required pam_unix.so
/etc/pam.d/common-auth:
auth sufficient pam_winbind.so
auth required pam_unix.so nullok_secure use_first_pass
/etc/pam.d/common-password:
password required pam_unix.so nullok obscure min=4 max=50 md5
/etc/pam.d/common-session:
session required pam_mkhomedir.so umask=0022 skel=/etc/skel
вот мой тест/etc/samba/smb.conf:
[global]
workgroup = MYDOMAIN
security = ADS
realm = MYDOMAIN.COM
netbios name = trusty
idmap config *:backend = tdb
idmap config *:range = 70001-80000
idmap config MYDOMAIN:backend = ad
idmap config MYDOMAIN:schema_mode = rfc2307
idmap config MYDOMAIN:range = 500-40000
winbind nss info = rfc2307
[test]
path = /srv/samba/test
read only = no
и вот мой/etc/krb5.conf
[libdefaults]
default_realm = MYDOMAIN.COM
ticket_lifetime = 24000
allow_weak_crypto = yes
[realms]
MYDOMAIN.COM = {
kdc = my.domain.com
admin_server = my.domain.com
default_domain = MYDOMAIN.COM
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
[login]
krb4_convert = true
krb4_get_tickets = false
/etc/nsswitch.conf
passwd: compat winbind
group: compat winbind
shadow: compat winbind
hosts: files mdns4_minimal [NOTFOUND=return] dns wins
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
править: одна последняя вещь..... Я заметил, ввожу ли я pam-auth-update, я не вижу способности включить профиль pam для активного каталога или ldap... я клянусь, что это было там в 12,04...?
3 ответа
getent passwd
Возврат что-нибудь?
Как насчет
wbinfo -u
я работаю над тем же самым и для меня, wbinfo-u работал, но getent passwd не сделал. Я смог заставить getent passwd работать путем добавления этих пакетов.
apt-get install libnss-winbind libpam-winbind
Однажды getent passwd возвратил пользователей домена, я смог к ssh в машину с моим доменом cred.
У меня была та же проблема, но, посредством некоторого взламывания я смог заставить ее работать наконец.
После Добавления libnss-winbind - getent passwd работал, и я получал setgid ошибку, когда я попытался войти в систему как AD пользователь.
, Таким образом, я начал взламывать в smb.conf файле.
я скопировал smb.conf файл, который я имел от работы 12.04LTS сервер и внес некоторые незначительные изменения, и это работало.
Это - мой smb.conf.
[global]
allow trusted domains = Yes
workgroup = DOMAIN
server string = 'Test Server'
security = ads
realm = DOMAIN.COM
password server = 0.0.0.0
domain master = no
local master = no
preferred master = no
idmap backend = tdb
idmap uid = 10000-99999
idmap gid = 10000-99999
idmap config DOMAIN:backend = rid
idmap config DOMAIN:range = 10000-99999
winbind separator = +
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
winbind nested groups = yes
winbind refresh tickets = yes
template homedir = /home/DOMAIN.COM/%U
template shell = /bin/bash
client use spnego = yes
client ntlmv2 auth = yes
encrypt passwords = true
restrict anonymous = 2
log file = /var/log/samba/log.%m
max log size = 50
склонный - добираются, установка libnss-winbind libpam-winbind работал на меня также.
После обновления от 12,04 до 14,04 пользователей Active Directory были запрошены имя пользователя и пароль при попытке получить доступ к долям, и их сетевые диски не отобразятся. После выполнения вышеупомянутой команды и 'обслуживания smbd перезапускают' для перезапуска сервиса самбы, все это работало отлично. Сделал, чтобы пользователи перезапустили и их диски, подключенные как обычный. Уф!