Мы обновляемся из старого домена NT4, и я только что получил настройку Samba AD на новой Ubuntu 20.04 Сервер. Текущая версия Samba - 4.11.6-Ubuntu на DC, так и на сервере домена, который также работает Ubuntu 20.04. Я следовал по официальному руководству Samba (заменив дистри-каталоги), и я могу kinit
просто хорошо, я могу запустить WBINFO -A
просто хорошо, и он аутентифицируется, но если Я бегаю Patterwd Passwd \\ User
Я не получаю вывода, я включил WinBind enum пользователей = Да
и WinBind Enum Group = Да
В моем /etc/samba/smb.conf
файл, но все равно ничего. Интересно достаточно, WBINFO -U
& WBINFO -G
возвращает все мои пользователи и группы.
Я также попробовал только Getent Group
, и она возвращает некоторые из моих групп (выше GID 2300, как кажется), но Phetent User
возвращает только локальные пользователи, независимо от того, какой идентификатор Я назначаю любые тестовые пользователи, которые я сделал.
Я также гарантировал, что мои конфиги на DC также установлены, и я могу запустить команду PHETT с помощью AGRS, которые я пробовал на сервере участника, и он работает, он вытягивает идентификатор и все.
Кроме того, что-то следует отметить, я вручную потянул всех пользователей и групп (включая UID / GID) из старого домена, используя Samba-Tool, чтобы добавить их с соответствующими args. Наш диапазон UID от 1004-4000 и диапазон Гида от 900-950.
Моя мысль была то, что у него было что-то связано с диапазонами IDMAP в /etc/samba/smb.conf
, но независимо от того, что я помещаю туда, ничего не работает (да, я перезагружался / перезагружается / Перезапустить услуги также). Я также не могу войти в систему, даже если я подтвердил, что PAM настроен на использование WinBind и My /etc/nsswitch.conf
файл правильно настройки (пользователь и группа имеет WinBind добавленным)
Настолько в конечном итоге, мой вопрос сводится к: что-нибудь изменилось с Ubuntu 20.04, что мне нужно настроить для работы Samba? Или я просто делаю что-то не так? (Конфиги ниже)
DC SMB.conf
# Global parameters
[global]
dns forwarder = 192.168.1.1
netbios name = DC1
realm = DOMAIN.COM
server role = active directory domain controller
workgroup = DOMAIN
idmap_ldb:use rfc2307 = yes
# Template settings for login shell and home directory
template shell = /bin/false
template homedir = /home/%U
winbind enum users = yes
winbind enum groups = yes
Сервер участника SMB.CONF
[global]
workgroup = DOMAIN
security = ADS
realm = DOMAIN.COM
username map = /etc/samba/user.map
log file = /var/log/samba/%m.log
log level = 1
# Default ID mapping configuration for local BUILTIN accounts
# and groups on a domain member. The default (*) domain:
# - must not overlap with any domain ID mapping configuration!
# - must use a read-write-enabled back end, such as tdb.
idmap config * : backend = tdb
idmap config * : range = 10000-17999
# - You must set a DOMAIN backend configuration
# idmap config for the DOMAIN domain
idmap config DOMAIN : backend = ad
idmap config DOMAIN : schema_mode = rfc2307
idmap config DOMAIN : range = 1000-5000
idmap config DOMAIN : unix_nss_info = yes
vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes
dedicated keytab file = /etc/krb5.keytab
kerberos method = secrets and keytab
winbind enum users = yes
winbind enum groups = yes
NSSWICK.conf
passwd: files systemd winbind
group: files systemd winbind
shadow: files
gshadow: files
hosts: files dns
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
Сервера участника KRB5 Cont
[libdefaults]
default_realm = DOMAIN.COM
dns_lookup_realm = false
dns_lookup_kdc = true
Спасибо, благодаря помощи @rowland, я смог сделать вывод, что эта проблема, произошедшая из нескольких вопросов:
, прежде всего, пользователи домена не имеют GID (подтверждено, проверяя атрибут в Windows Пользователи и группы Console). После добавления того, что GID и расширение диапазона IDMAP, моя проблема, по-видимому, решается со всеми моими группами, и показанные пользователи. Я также смогли протестировать доступ с пользователями домена с полным успехом.
Редактировать : теперь я расширен, чтобы включить все наши группы, и все, что касается пользователя / группы и ACL, работают отлично!