Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: winbind  (Прочитано 339 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн V.A.S.t

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
winbind
« : 03 Июль 2018, 04:30:32 »
Здравствуйте!
Ubuntu 18.04
Никак не могу добавить доменных пользователей и группы в passwd и group.
Сервер в домен ввел успешно, вывод wbinfo -u и wbinfo -g показывает пользователей и группы, но в passwd и group ничего не добавляется.
smb.conf
(Нажмите, чтобы показать/скрыть)

sudo wbinfo -t
checking the trust secret for domain PGLP via RPC calls succeeded

/etc/nsswitch.conf
(Нажмите, чтобы показать/скрыть)

Все нужные библиотеки установлены
(Нажмите, чтобы показать/скрыть)

Подскажите, что не так?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25435
    • Просмотр профиля
Re: winbind
« Ответ #1 : 03 Июль 2018, 15:35:52 »
net ads testjoin

Пользователь добавил сообщение 03 Июль 2018, 15:36:20:
И удалите libpam-krb5

Пользователь добавил сообщение 03 Июль 2018, 15:39:23:
Стоп, так у вас же idmap не настроен.
« Последнее редактирование: 03 Июль 2018, 15:39:23 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн V.A.S.t

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: winbind
« Ответ #2 : 04 Июль 2018, 04:02:25 »
sudo net ads testjoin
Join is OK

libpam-krb5 удалил

А есть еще какие то настройки idmap, кроме этих:

idmap config *: range = 10000 - 49999
idmap config * : backend = tdb

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25435
    • Просмотр профиля
Re: winbind
« Ответ #3 : 04 Июль 2018, 04:05:03 »
Естественно. Это настройки для локальной машины.
Нужны ещё настройки для домена.

И, да, AD выдаёт UID начиная с 10'000, так что меняйте мапинг, пока не поздно.
« Последнее редактирование: 04 Июль 2018, 04:07:29 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн V.A.S.t

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: winbind
« Ответ #4 : 04 Июль 2018, 05:32:14 »
Так у меня и стоит с 10000 :)

Пользователь добавил сообщение 04 Июль 2018, 05:39:22:
И вообще, я так понимаю, что idmap config *: range = 10000 - 49999 означает не только локальную машину. "*" - это же любое значение.
« Последнее редактирование: 04 Июль 2018, 05:39:22 от V.A.S.t »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25435
    • Просмотр профиля
Re: winbind
« Ответ #5 : 04 Июль 2018, 15:03:56 »
Так у меня и стоит с 10000
Это для ЛОКАЛЬНЫХ ПОЛЬЗОВАТЕЛЕЙ.

Пользователь добавил сообщение 04 Июль 2018, 15:04:57:
"*" - это же любое значение.
Да, любое. Любое другое. Как вы будете обеспечивать уникальность идентификаторов, если лоакльные начнут перемешиваться с прописанными в АД?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн V.A.S.t

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: winbind
« Ответ #6 : 05 Июль 2018, 03:57:59 »
Ну ладно, не суть. Все равно ничего не работает, даже после настроек домена.
(Нажмите, чтобы показать/скрыть)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25435
    • Просмотр профиля
Re: winbind
« Ответ #7 : 05 Июль 2018, 12:00:26 »
Вам никогда не говорили, что копипаста без тени мысли ни к чему хорошему не приводит?
Или вам расширение файла - ".tpl" - ни на что не намекнуло?
Я уже молчу про то, что realm должно быть FQDN.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн V.A.S.t

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: winbind
« Ответ #8 : 06 Июль 2018, 05:01:09 »
ОК, выслушав нравоучения полез гуглить дальше и привел конфиг к следующему виду:
(Нажмите, чтобы показать/скрыть)
Но ведь опять никакого результата

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25435
    • Просмотр профиля
Re: winbind
« Ответ #9 : 06 Июль 2018, 15:07:27 »
А вы UID/GID в AD прописали?
Свойства пользователя/группы, вкладка "UNIX Attributes".
Для групп прописывайте только для тех, которыми планируете манипулировать с Linux машин.
Domain Computers, Domain Guests, Domain Users, Domain Admins, создайте группу Domain Sudoers для администрирования линухов без лишних прав на домен, так же те кастомные группы, которые вы создаёте сами.
Для пользователей - внимательно следите, какую группу назначаете примари.

Пользователь добавил сообщение 06 Июль 2018, 15:09:01:
И, да, вы пропустили самое главное для 17.10+: https://github.com/AnrDaemon/samba4-ads/blob/master/root/samba-ads/smb.conf.tpl#L38-L39
« Последнее редактирование: 06 Июль 2018, 15:09:01 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.122 секунд. Запросов: 23.