|
|
|
Samba, winbind и id
|
|||
|---|---|---|---|
|
#18+
здесь статья о настройке самбы и дальнейшей авторизации через Winbind. Так вот, следовал по всем пунктам, читал вдумчиво и внимательно, но увы - на шаге где выполняется команда id, выводится: "пользователь не найден", хотя, пользователи и группы из домена отображаются (wbinfo -u, wbinfo -g, wbinfo -t тоже сработала нормально). Про что подумал: может надо явно указать с каким доменным аккаунтом winbind должен подсоединятся к PDC? Что вообще могло на это повлиять? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.08.2010, 20:09 |
|
||
|
Samba, winbind и id
|
|||
|---|---|---|---|
|
#18+
Мишган-кабанчик, все что угодно могло на это повлиять. Статьи дают ложное чувство понимания. На самом деле они просто стенограммы одного удачного сценария настройки, не более. Эта на вид ужасно короткая и не подробная. Надо разбивать на части, читать документацию относящуюся к каждой части и тестировать. Я такую конфигурацию не настраивал (это изначально глупо делать из линукса офисное рабочее место), но по-моему, в этой статье команду id вызывают до настройки pam. Попробуйте настроить pam, войти, а потом уже вызывать команду id. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.08.2010, 20:17 |
|
||
|
Samba, winbind и id
|
|||
|---|---|---|---|
|
#18+
netwind, да вот как бы и пам настроен, но авторизация не проходит, думал что беда в том, что id не получаю. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.08.2010, 20:38 |
|
||
|
Samba, winbind и id
|
|||
|---|---|---|---|
|
#18+
netwind, pam - Pluggable Authentication Modules, за вызовы getXbyY отвечает nss ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.08.2010, 01:15 |
|
||
|
Samba, winbind и id
|
|||
|---|---|---|---|
|
#18+
Для более точной диагностики попробовать команды getent passwd getent group Должны быть перечислены доменные пользователи тоже. Если их нет - до PAM-а дело недоходит. Если есть - проблема в конфигурации PAM-а А вообще по моему опыту всё очень сильно менятся от версии к версии самбы и статья может не соотвествовать вашей версии. Вот рабочий вариант smb.conf для версии 3.0.26a + Windows 2003 с аутентификацией через winbind # [global] workgroup = MYDOM security = ADS encrypt passwords = yes log level = 3 passdb:2 auth:5 winbind:5 idmap:3 template shell = /bin/bash template homedir =/home/%U # задать реальные диапазоны idmap uid = 2000-20000 idmap gid = 10000-20000 # idmap backend = ad idmap domains = MYDOM idmap config MYDOM:backend = ad idmap config MYDOM:default = yes idmap config MYDOM:schema_mode = sfu winbind nss info = sfu winbind use default domain = Yes winbind enum users = yes winbind enum groups= yes domain logons = no local master = no realm = MYDOM.RU wins server = wins support = no netbios name = LINUXSERVERNAME add machine script = preferred master = auto password server = windowsdc.mydom.ru ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.08.2010, 12:11 |
|
||
|
Samba, winbind и id
|
|||
|---|---|---|---|
|
#18+
Это не PAM, это NSS виноват. См. /etc/nsswitch.conf ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.08.2010, 17:21 |
|
||
|
Samba, winbind и id
|
|||
|---|---|---|---|
|
#18+
В smb.conf было: idmap uid = 10000-20000 idmap gid = 10000-20000 в момент отчаяния стало: idmap uid = 10000-4000000000 idmap gid = 10000-4000000000 Т.е. просто расширили диапазон. И вуаля! ЗАРАБОТАЛО!!! Кстати, тут же (после перезапуска winbindd и smbd) получилось авторизоваться в соседней консоле, что как бы говорит о верной настройки PAM и nsswitch.conf :) Теперь вот мне интересно, почему заработало? В домене порядка 150 юзеров. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.08.2010, 20:12 |
|
||
|
Samba, winbind и id
|
|||
|---|---|---|---|
|
#18+
Мишган-кабанчик, а что id выдает для авторизованного через AD пользователя? Какие uid и gid выдают getent passwd и getent group для все AD-пользователей и групп? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.08.2010, 11:32 |
|
||
|
Samba, winbind и id
|
|||
|---|---|---|---|
|
#18+
Да что-то там за id за 16 миллионов. Кстати, и для групп тоже. Прочитал про idmap, SIDы посмотреть некогда было, но это может быть как-то связанно с алгоритмом их вычисления? Или есть какие идеи? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.08.2010, 21:21 |
|
||
|
Samba, winbind и id
|
|||
|---|---|---|---|
|
#18+
Мишган-кабанчикДа что-то там за id за 16 миллионов. Кстати, и для групп тоже. Прочитал про idmap, SIDы посмотреть некогда было, но это может быть как-то связанно с алгоритмом их вычисления? Или есть какие идеи? Запустите testparm -sv, кажется так, и вы увидите все параметры, с которыми стартует самба, посмотрите, как у вас формируются uid и gid, при включении самбы в домен есть 3-и разных способов их формирования .... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.08.2010, 09:54 |
|
||
|
Samba, winbind и id
|
|||
|---|---|---|---|
|
#18+
Какое значание idmap backend в smb.conf? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.08.2010, 16:45 |
|
||
|
Samba, winbind и id
|
|||
|---|---|---|---|
|
#18+
да как бы idmap backend никто не задавал... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.09.2010, 20:01 |
|
||
|
Samba, winbind и id
|
|||
|---|---|---|---|
|
#18+
Мишган-кабанчикда как бы idmap backend никто не задавал... Там многое не заданное в smb.conf берется по молчанию, запусти testparm -sv и ты увидишь с какими параметрами у тебя стартует самба ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.09.2010, 08:55 |
|
||
|
Samba, winbind и id
|
|||
|---|---|---|---|
|
#18+
Вот тоже понадобилось настроить самбу. У нас два домена, security = ADS. В дефолтном режиме, т.е. когда idmap backend = tdb (можно вообще не указывать это дефолтное значение) все работает на ура. Но надо самбу в кластере, соотв. нужно чтобы мапинг SID->UID(GID) совпадал. Пробовал настроить backend = ad (SFU в AD стоит) ничего не получается, не пускает. Уже всю доку перечитал ничего не могу понять :( ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.09.2010, 12:26 |
|
||
|
Samba, winbind и id
|
|||
|---|---|---|---|
|
#18+
xxxkmsВот тоже понадобилось настроить самбу. У нас два домена, security = ADS. В дефолтном режиме, т.е. когда idmap backend = tdb (можно вообще не указывать это дефолтное значение) все работает на ура. Но надо самбу в кластере, соотв. нужно чтобы мапинг SID->UID(GID) совпадал. Пробовал настроить backend = ad (SFU в AD стоит) ничего не получается, не пускает. Уже всю доку перечитал ничего не могу понять :( Попробуйте idmap domains = YourDomain idmap config YourDomain:backend = ad idmap config YourDomain:readonly = yes ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.09.2010, 13:22 |
|
||
|
Samba, winbind и id
|
|||
|---|---|---|---|
|
#18+
Sergey Orlov Попробуйте idmap domains = YourDomain idmap config YourDomain:backend = ad idmap config YourDomain:readonly = yes Ignoring unknown parameter "idmap domain" , да и в доке нет такого параметра. Ну а во вторых, ad режим все равно не работает. Юзера то она пускает, но мапинг пишет в файл winbindd_idmap.tdb, что мне совсем не нужно. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.09.2010, 12:05 |
|
||
|
Samba, winbind и id
|
|||
|---|---|---|---|
|
#18+
xxxkms Ignoring unknown parameter "idmap domain" , да и в доке нет такого параметра. Ну а во вторых, ad режим все равно не работает. Юзера то она пускает, но мапинг пишет в файл winbindd_idmap.tdb, что мне совсем не нужно. Ну маппинг он все равно должен куда-то писать, кеш у него все-таки свой... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.09.2010, 14:50 |
|
||
|
Samba, winbind и id
|
|||
|---|---|---|---|
|
#18+
Sergey Orlov Ну маппинг он все равно должен куда-то писать, кеш у него все-таки свой... Как раз таки прелесть режимов idmap_ad и idmap_rid и состоит в том, что маппинг делается на ходу, без использования файлов. И писать самбе никуда не надо. idmap_rid у меня на другом сервере чудненько работает, но там один домен (с несколькими доменами rid и не должен работать). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.09.2010, 15:09 |
|
||
|
|
start [/forum/topic.php?fid=25&msg=36811618&tid=1484741]: |
0ms |
get settings: |
8ms |
get forum list: |
19ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
238ms |
get topic data: |
13ms |
get forum data: |
3ms |
get page messages: |
73ms |
get tp. blocked users: |
2ms |
| others: | 205ms |
| total: | 567ms |
| 0 / 0 |
