Приветствую!
В процессе внедрения в сеть сервер Samba4 AD DC (Ubuntu 16.04 LTS) и перевода на него пользователей столкнулся с новой проблемой.
Рабочая станция с ОС Linux, на которой настроена
аутентификация winbind, после загрузки должна постоять некоторое время, прежде чем можно будет войти в систему по имени и паролю доменного пользователя.
Вот здесь:
https://forum.ubuntu.ru/index.php?topic=17941.0 в пункте 10 Настройки PAM говорится, что в Ubuntu 7.10 winbind стартует до поднятия сетевого интерфейса и не может получить полноценную информацию о домене. Похоже, в последующих версиях ситуация не изменилась, но предлагаемое "лекарство" в моём случае не работает. Чтобы пользователь мог быть распознан системой по имени и паролю, всё равно приходиться ждать около минуты. Возможно, время ожидания может быть больше из-за загруженности сети или большого количества одновременных запросов аутентификации (в начале рабочего дня, например).
Вопрос. Какой метод аутентификации сетевых пользователей Samba4 AD лучше использовать и как его корректно настроить?
Вариант 1. Уже упомянутый
pam-winbind.
Как сделать так, чтоб он получил необходимую для аутентификации информацию до того, как загрузится графическое приглашения, я не знаю. Чтоб графическому приглашению не пришлось ждать, пока winbind получит информацию о домене, в /etc/rc... запуск winbind ставим после запуска dm (т.е. после запуска lightdm, gdm или др.).
Одним из плюсов этого варианта является
простейшая настройка offline-аутентификации.
Вариант 2. Вот тут:
https://cdc.iseage.org/tutorial-pam-ldap-authentication-active-directory-debianubuntu/ описан вариант аутентификации в AD с помощью
pam-ldap без регистрации в домене. Этот вариант кто-нибудь пробовал, есть смысл заморачиваться?
Ещё есть варианты
pam-krb5 и
pam-sss, но их я ещё не пробовал. Если кто использует и если не жалко, поделитесь рабочими конфигами и кратенько напишите их преимущества.