Winbind получение полного имени доменного пользователя

[X3PPY]

Есть сервер  на ubuntu 18.04.
Ввел в домен samba+winbind+kerberos
wbinfo -u показывает всех пользователей, но только у нескольких показывает их полное имя (5е поле). В какую сторону посмотреть, чтобы полные имена выводились для всех пользователей?

[AnrDaemon]

Заполнить gecos в AD.

[X3PPY]

Начиная с WS2012R2 Microsoft не рекомендует устанавливать средства сервера для NIS. Пока нет желания его устанавливать, есть еще какие-то варианты? Для некоторых же учетный записей выводится полное имя...

---

На xubuntu 16.04 полное имя выводится как и должно. Различия помимо прочего в том что на 16.04 winbind бэкэнд tdb а на 18.04 настроил rid. Это может повлиять?

Переделал на 18.04 бэкэнд на tdb, почистил кэш - не помогло

---

[AnrDaemon]

Я всегда пользуюсь прямой линковкой с AD.
Смысл городить зоопарк, когда уже есть один центральный сервер?
rid вообще к AD почти не обращается.
А что там рекомендует майкрософт, мне плевать.

[X3PPY]

Как раз rid помогает избежать зоопарка с расширением схемы и заполнением данных вручную.
На ubuntu 16.04, samba+winbind 4.3.11 все работает как надо.
После обновления этой же ОС до 18.04, samba+winbind 4.7.6 полные имена перестают подгружаться
При этом конфиг самбы не менялся (rid).
Обновление до самбы 4.8.5 так же не решило проблему.

Любые идеи?

[AnrDaemon]

Ну-ну.

[X3PPY]

Ввел xubuntu 18.04 в домен, тем же способом. Изначально, как и на серверной версии winbind не брал из домена полные имена пользователей, но после входа на компьютер под доменным пользователем - winbind каким-то чудом взял это дурацкое имя (только для того пользователя под которым я вошел) и видимо его где-то закэшировал (после net cache flush - winbind все еще выводит полное имя для этого пользователя)...

AnrDaemon, я понимаю что ты фанат бэкэнда ad, но не зря же придумали другие бэкэнды. Я выбрал rid. И он работал и как показывает практика - работает. Просто где-то что-то закралось, что не работает по умолчанию без бубнов

Больше нет ни у кого идей?

[AnrDaemon]

Да, другие бэкэнды придумали, когда к АД нет доступа.
И, нет, я не фанат, я просто реалистично смотрю на вещи.
UID - такой же непременный атрибут пользователя на *NIX, как SID - на Windows.
Если ваши системы взаимодействуют только на уровне Windows, rid ещё можно терпеть, но когда *NIX под доменом начинают взаимодействовать между собой, начинается чехарда.

[X3PPY]

Если ваши системы взаимодействуют только на уровне Windows, rid ещё можно терпеть, но когда *NIX под доменом начинают взаимодействовать между собой, начинается чехарда.

UID\GID будет на всех linux машинах одинаковый, в чем будет чехарда?

[AnrDaemon]

Он ВЕРОЯТНО будет одинаковый.
Единственная гарантия, это что он будет уникальный в пределах одной машины.

[X3PPY]

Он будет одинаковый, т.к. вычисляется по формуле на основе части SID.
На моих 7-ми машинах, что сейчас в домене, UID GID одинаковые...

[AnrDaemon]

Да, я знаю, как работает RID.
Ключевое слово - "части" SID.

[X3PPY]

Ключевое слово - "части" SID.

Да, есть над чем подумать. И возможно когда-нибудь, я вспомню про этот разговор...
Но речь про winbind.
У тебя есть ubuntu 18.04 в твоем домене? Можешь проверить, получает ли winbind данные из gecos ?

[AnrDaemon]

Для 17.10+ как раз добавлял

Код: [Выделить]

idmap config @WORKGROUP@ : unix_primary_group = yes
idmap config @WORKGROUP@ : unix_nss_info = yes
Сейчас глянул билдбота с Bionic - gecos правильно подтягивает.
Десктоп 18.04 после добавления недостающих строк и перезагрузки тоже подтянул.

[X3PPY]

В документации про эти параметры говорится только про бэкэнд ad и с моим rid конечно же не помогло... Опять же по документации, nss_info берет оболочку и homedir из вкладки UNIX Attribute, ни слова про full name...

Проверил с ubuntu 17.10 (samba+winbind 4.6.7) - проблема есть.
Видимо это началось со всей ветки 4.6

Проблема все еще актуальна, если будут идеи...

---

Оффтопик: никогда особо SID не интересовался, но после разговора про AD vs RID посмотрел net cache list
Key: IDMAP/UID2SID/104339        Timeout: Wed Sep 19 15:16:44 2018       Value: S-1-5-21-2296911318-4081203009-1941589823-4339
Key: IDMAP/GID2SID/104197        Timeout: Wed Sep 19 15:16:44 2018       Value: S-1-5-21-2296911318-4081203009-1941589823-4197

net getdomainsid
SID for domain ДОМЕН is: S-1-5-21-2296911318-4081203009-1941589823

Т.е. вся первая часть SID идентифицирует домен, и только последнии 4 знака - объект.
Логично предположить, что последняя часть будет уникальной в пределах домена.
Логично предположить, что последняя часть может повторятся в разных доменах.
Но т.к. rid настраивает диапазоны для каждого домена, uid и gid получаются уникальные для всех доменов.
Поправьте если я не прав.