Проблема с Winbind / Samba
У меня была проблема в моей сети, которая полностью меня раздражала.
У меня есть три рабочих станции с Ubuntu 13.04, одна рабочая станция Windows 7 и три сервера на Ubuntu Server 12.04. Один из серверов - это контроллер домена, на котором работает Samba4, и обрабатывает DNS, Kerberos, NTP и DHCP.
Сегодня я пытался добавить ноутбук в домен, запуская Ubuntu 13.10. Я выдаю net ads join -U AdminUser, и ноутбук присоединяется к домену без ошибок. Я буквально скопировал и вставил файлы конфигурации с других рабочих станций и проверил разрешения.
Когда я запускаю wbinfo, я могу видеть пользователей и группы домена. Однако, когда я запускаю getent, я вижу только локальных пользователей и группы. Если я запустил wbinfo -a domainuser --verbose, меня попросят ввести пароль пользователя, и пароль будет принят без ошибок. Kerberos также работает.
nsswitch.conf, pam.d/common-auth, pam.d/common-session, pam.d/common-account, smb.conf и krb5.conf - все точные копии других систем (которые работают) и Я даже прочитал их все, чтобы проверить это.
Есть ли что-то, что я забыл?
Есть ли что-то, что было изменено на Ubuntu между 13.04 и 13.10?
Любая помощь будет оценена!
2 ответа
У меня была та же проблема, и установка libnss-winbind разрешила проблему.
sudo apt-get install libnss-winbind
Большое спасибо за это! Я боролся с этим «последним кусочком головоломки» в течение 4 дней, с бесконечными переустановками и запуском. У меня есть несколько советов для тех, кто новичков, когда я пытаюсь собрать их вместе 13.10:
1) установка SAMBA отдельно с apt-get после установки ОС показалась лучше, чем установка в качестве опции при установке ОС. Я не знаю точно, ЧТО это было, но он вел себя по-другому.
2) Все хауты и документы, которые я прочитал (и попытался) для AD / Winbind, немного устарели. ЕСЛИ вы делаете что-то правильно и в правильной последовательности, нет НИКАКОГО НЕОБХОДИМОГО возиться с любым из файлов /etc/pam-d/. pam-auth-update заботится обо всем! Единственное исключение - это, возможно, «общий сеанс», если вы хотите, чтобы домашний каталог автоматически создавался для пользователей, впервые входивших в систему из AD.
3) то же самое с Kerberos - используйте dpkg-reconfigure krb5-user в вместо редактирования /etc/krb5.conf, как многие документы вам скажут.
4) Большая часть Howtos и документов, описывающих /etc/samba/smb.conf, также устарели. Используйте новый формат и не забудьте сделать testparm. Важная часть моей выглядит следующим образом:
workgroup = LUUN
netbios name = trubadurix
security = ads
realm = LUUN.LOCAL
winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
winbind nested groups = yes
winbind refresh tickets = yes
template shell = /bin/bash
template homedir = /home/%D/%U
domain master = no
client use spnego = yes
idmap config *:backend = tdb
idmap config *:range = 10000-20000
idmap config LUUN : backend = rid
idmap config LUUN : range = 1000-20000
idmap config LUUN : base_rid = 0
map untrusted to domain = yes
5) не забудьте установить libpam-krb5, winbind (no-SAMBA недостаточно, хотя часть документации приведет вас к мысли, что ), libpam-winbind и, наконец, libnss-winbind ...