Форум русскоязычного сообщества Ubuntu


За новостями русскоязычного сообщества и Ubuntu в целом можно следить на нашей страничке в Google+

Автор Тема: winbind  (Прочитано 804 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн V.A.S.t

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
winbind
« : 03 Июль 2018, 03:30:32 »
Здравствуйте!
Ubuntu 18.04
Никак не могу добавить доменных пользователей и группы в passwd и group.
Сервер в домен ввел успешно, вывод wbinfo -u и wbinfo -g показывает пользователей и группы, но в passwd и group ничего не добавляется.
smb.conf
(Нажмите, чтобы показать/скрыть)

sudo wbinfo -t
checking the trust secret for domain PGLP via RPC calls succeeded

/etc/nsswitch.conf
(Нажмите, чтобы показать/скрыть)

Все нужные библиотеки установлены
(Нажмите, чтобы показать/скрыть)

Подскажите, что не так?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25769
    • Просмотр профиля
Re: winbind
« Ответ #1 : 03 Июль 2018, 14:35:52 »
net ads testjoin

Пользователь добавил сообщение 03 Июль 2018, 14:36:20:
И удалите libpam-krb5

Пользователь добавил сообщение 03 Июль 2018, 14:39:23:
Стоп, так у вас же idmap не настроен.
« Последнее редактирование: 03 Июль 2018, 14:39:23 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн V.A.S.t

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Re: winbind
« Ответ #2 : 04 Июль 2018, 03:02:25 »
sudo net ads testjoin
Join is OK

libpam-krb5 удалил

А есть еще какие то настройки idmap, кроме этих:

idmap config *: range = 10000 - 49999
idmap config * : backend = tdb

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25769
    • Просмотр профиля
Re: winbind
« Ответ #3 : 04 Июль 2018, 03:05:03 »
Естественно. Это настройки для локальной машины.
Нужны ещё настройки для домена.

И, да, AD выдаёт UID начиная с 10'000, так что меняйте мапинг, пока не поздно.
« Последнее редактирование: 04 Июль 2018, 03:07:29 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн V.A.S.t

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Re: winbind
« Ответ #4 : 04 Июль 2018, 04:32:14 »
Так у меня и стоит с 10000 :)

Пользователь добавил сообщение 04 Июль 2018, 04:39:22:
И вообще, я так понимаю, что idmap config *: range = 10000 - 49999 означает не только локальную машину. "*" - это же любое значение.
« Последнее редактирование: 04 Июль 2018, 04:39:22 от V.A.S.t »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25769
    • Просмотр профиля
Re: winbind
« Ответ #5 : 04 Июль 2018, 14:03:56 »
Так у меня и стоит с 10000
Это для ЛОКАЛЬНЫХ ПОЛЬЗОВАТЕЛЕЙ.

Пользователь добавил сообщение 04 Июль 2018, 14:04:57:
"*" - это же любое значение.
Да, любое. Любое другое. Как вы будете обеспечивать уникальность идентификаторов, если лоакльные начнут перемешиваться с прописанными в АД?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн V.A.S.t

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Re: winbind
« Ответ #6 : 05 Июль 2018, 02:57:59 »
Ну ладно, не суть. Все равно ничего не работает, даже после настроек домена.
(Нажмите, чтобы показать/скрыть)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25769
    • Просмотр профиля
Re: winbind
« Ответ #7 : 05 Июль 2018, 11:00:26 »
Вам никогда не говорили, что копипаста без тени мысли ни к чему хорошему не приводит?
Или вам расширение файла - ".tpl" - ни на что не намекнуло?
Я уже молчу про то, что realm должно быть FQDN.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн V.A.S.t

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Re: winbind
« Ответ #8 : 06 Июль 2018, 04:01:09 »
ОК, выслушав нравоучения полез гуглить дальше и привел конфиг к следующему виду:
(Нажмите, чтобы показать/скрыть)
Но ведь опять никакого результата

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25769
    • Просмотр профиля
Re: winbind
« Ответ #9 : 06 Июль 2018, 14:07:27 »
А вы UID/GID в AD прописали?
Свойства пользователя/группы, вкладка "UNIX Attributes".
Для групп прописывайте только для тех, которыми планируете манипулировать с Linux машин.
Domain Computers, Domain Guests, Domain Users, Domain Admins, создайте группу Domain Sudoers для администрирования линухов без лишних прав на домен, так же те кастомные группы, которые вы создаёте сами.
Для пользователей - внимательно следите, какую группу назначаете примари.

Пользователь добавил сообщение 06 Июль 2018, 14:09:01:
И, да, вы пропустили самое главное для 17.10+: https://github.com/AnrDaemon/samba4-ads/blob/master/root/samba-ads/smb.conf.tpl#L38-L39
« Последнее редактирование: 06 Июль 2018, 14:09:01 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн V.A.S.t

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Re: winbind
« Ответ #10 : 03 Август 2018, 05:00:28 »
Вышел из отпуска, продолжаем разбираться :)
И, да, вы пропустили самое главное для 17.10+: https://github.com/AnrDaemon/samba4-ads/blob/master/root/samba-ads/smb.conf.tpl#L38-L39
Добавил. Без изменений...
А вы UID/GID в AD прописали?
Свойства пользователя/группы, вкладка "UNIX Attributes".
Вот это уже что-то интересное. Почему ни в каких мануалах данной информации нет? Везде все работает "Как есть".
Вкладки в свойствах юзера я такой не нашел, но в редакторе атрибутов есть uid. Но мне кажется, что это совсем не то. Ubuntu должен сам конвертировать SID в UID. Причем при данных настройках конвертация не происходит:
user@AIR:~$ wbinfo --name-to-sid="PGLP\test"
S-1-5-21-723055212-3893161264-2902653171-1321 SID_USER (1)
user@AIR:~$ wbinfo --sid-to-uid=S-1-5-21-723055212-3893161264-2902653171-1321
failed to call wbcSidToUid: WBC_ERR_DOMAIN_NOT_FOUND
Could not convert sid S-1-5-21-723055212-3893161264-2902653171-1321 to uid

Но при изменении настроек на
    idmap config *: range = 10000 - 50000
   idmap config *: backend = tdb

конвертация работает:
user@AIR:~$ wbinfo --name-to-sid="PGLP\test"
S-1-5-21-723055212-3893161264-2902653171-1321 SID_USER (1)
user@AIR:~$ wbinfo --sid-to-uid=S-1-5-21-723055212-3893161264-2902653171-1321
10003

Но как и раньше не добавляются пользователи в passwd.
Получается, что winbind просто не видит домен по имени (скорее всего из-за "плоского" имени домена). Но странно и другое. При конфигурации с * во всех мануалах все работало, а у меня не хочет.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25769
    • Просмотр профиля
Re: winbind
« Ответ #11 : 03 Август 2018, 05:27:26 »
"Как есть".
Как б-г на душу положит, вы хотели сказать?
А потом удивляетесь, что ничего ни с чем не стыкуется?
Вкладки в свойствах юзера я такой не нашел
Значит, надо доставить. "Средства доменных служб …" - "Средства сервера для NIS."

Пользователь добавил сообщение 03 Август 2018, 05:28:26:
Но при изменении настроек на
В один прекрасный момент мне надоест повторяться, я плюну, развернусь и уйду.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн V.A.S.t

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Re: winbind
« Ответ #12 : 03 Август 2018, 08:29:32 »
В 2016 винде данный компонент исключили. Остался один сервер на 2012, установил данный компонент (с надписью НЕ РЕКОМЕНДУЕТСЯ), вкладка появилась, но в списке NIS Domain можно выбрать только <none> :)))

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25769
    • Просмотр профиля
Re: winbind
« Ответ #13 : 03 Август 2018, 18:49:24 »
Погодите, а у вас DC вообще кто?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн V.A.S.t

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Re: winbind
« Ответ #14 : 06 Август 2018, 05:31:21 »
Два Win Server 2016 и один 2012R2

 

Страница сгенерирована за 0.061 секунд. Запросов: 24.