Как после ввода в домен samba изменить uid gid доменным пользователям (idmap)?

Question

Александр Семененко @semenenko88

Системный администратор

Linux
Samba

Как после ввода в домен samba изменить uid gid доменным пользователям (idmap)?

Я ввел samba (Version 4.5.12-Debian) в домен, при её настройке прописал:
idmap config * : range = 1422390000-1422399999
idmap config centr:schema_mode = rfc2307
idmap config centr:range = 1422390000-1422399999
idmap config centr:backend = hash
idmap config * : backend = ad

Всё работает, getend passwd, и wbinfo показывают пользователей. С Windows клиентов в домене папки открываются без пароля.

Теперь в качестве эксперемента поменял:
этот диапазон 1422390000-1422399999 на 1442390000-1442399999 но uid не поменялись, осталисть в старом диапазоне. Я пробовал выводить и вводить в домен заного, но это не помогло. Пробовал менять backend на разные (tdb, hash) но ничего не меняется.

Думаю что нужно удалить какой-то файлик после вывода из домена, чтобы при вводе он сного создался. Но это предположение просто.

Вопрос задан более трёх лет назад
522 просмотра

Комментировать

Подписаться 1 Средний Комментировать

Пригласить эксперта

Ответы на вопрос 2

Комментировать

2 комментария

Александр Семененко @semenenko88 Автор вопроса

У меня в качестве контроллера домена Zentyal, и линуксовые машины вводим при помощи pbis. pbis использует hash в качестве бекенда, и выдает такие id пользователям. Самбу пришлось вводить в домен вручную без pbis, и чтобы uid и gid совпадали с другими машинами в домене, использовал hash.

rfc2307 - нужен контроллер на Windows. А у нас zentyal. (но не точно)

Вообще pbis немного разочаровал, у него устаревший winbind который с новой самбой не работает.

Написано более трёх лет назад
Andrej Gessel @andiges

я не использовал Zentyal, но как я понимаю по описанию они так же используют самбу как контроллер домена.

для использования rfc2307 можно использовать самбу, для этого необходимо иметь ad schema rfc2307 (https://wiki.samba.org/index.php/Setting_up_RFC230...

при быстром пробеге по коду сервера можно найти такую команду https://github.com/zentyal/zentyal/blob/efd29f5709... , тоесть в Zentyal поля из rfc2307 должны быть доступны.

это довольно легко проверить посмотрев каким-нибудь LDAP-Viewer на данные, важные поля uidNumber и gidNumber и если они есть, то стоит их использовать для одинаковых мэпингов для всех машин

pbis мне так же не знаком, это всё похоже надстройки над самбой, которые в принципе не нужны. samba-tool для AD и net для domain member, больше ничего не нужно.

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Linux

+2 ещё

Простой
Как создать ICQ сервер?
- 1 подписчик
- 4 часа назад
- 101 просмотр
1

ответ
Linux

+1 ещё

Простой
Как исправить ошибку?
- 1 подписчик
- 7 часов назад
- 64 просмотра
1

ответ
Linux

+1 ещё

Простой
Как выполнить rm без ошибок?
- 1 подписчик
- 8 часов назад
- 80 просмотров
3

ответа
Linux

+1 ещё

Простой
Как изменить /dev/sda на другое название, и последствия?
- 1 подписчик
- 10 часов назад
- 85 просмотров
3

ответа
Linux

+2 ещё

Простой
Linux (Ubuntu, Gnome) необходимо небольшое окошко поверх всех остальных окон?
- 1 подписчик
- 17 часов назад
- 194 просмотра
3

ответа
Linux

+3 ещё

Средний
Как исправить раздел LVM — отсутствует верная таблица разделов?
- 1 подписчик
- 18 часов назад
- 67 просмотров
1

ответ
Linux

+1 ещё

Простой
Как правильно передать значения к переменную внутри команды curl?
- 1 подписчик
- вчера
- 80 просмотров
4

ответа
Linux

+1 ещё

Средний
Как исправить ошибку «Meego grubby fatal error: unable to find a suitable template»?
- 1 подписчик
- вчера
- 47 просмотров
1

ответ
Linux

Простой
Как грепнуть по двум строкам вместе?
- 1 подписчик
- вчера
- 120 просмотров
1

ответ
Linux

+2 ещё

Средний
Не вижу вводимые символы в консоли Debian 10?
- 2 подписчика
- вчера
- 207 просмотров
0

ответов
Показать ещё Загружается…

Программист C для Embedded Linux

Radiofid • Санкт-Петербург

от 120 000 до 180 000 ₽

Linux Администратор DevOps

ИМАГ • Москва

от 150 000 до 170 000 ₽

Программист C/C++ embedded Linux

РТК Автоматика • Москва

от 170 000 до 250 000 ₽

Создание и публикация короткого (reels) UGC-видео на YouTube-канале

25 апр. 2024, в 01:46

500 руб./за проект

Настроить перехват https-трафика для android-приложения

25 апр. 2024, в 01:02

10000 руб./за проект

Программа (скрипт) для автоматизации торговли Solana

25 апр. 2024, в 00:45

100 руб./в час

Answer 1 · 2018-05-30 12:34:52

Сам же себе и отвечу, вдруг понадобится.

Этой командой смотрим где нужно почистить:
# smbd -b | egrep "LOCKDIR|STATEDIR|CACHEDIR|PRIVATE_DIR"
LOCKDIR: /usr/local/samba/var/lock/
STATEDIR: /usr/local/samba/var/locks/
CACHEDIR: /usr/local/samba/var/cache/
PRIVATE_DIR: /usr/local/samba/private/

И из всех этих каталогов удаляем .tdb и .ldb файлы. Так как winbind больше не стартует, так как файлы пропали, просто переводим в домен и файлы создадуться и winbind стартует.

Answer 2 · 2018-07-31 14:08:25

Может немного поздновато, но настойки не совсем верны:
idmap config * : range = 1422390000-1422399999
idmap config centr:schema_mode = rfc2307 <- uidNumber/gidNumber должны быть прописаны в AD
idmap config centr:range = 1422390000-1422399999
idmap config centr:backend = hash <- должно быть "ad" т.к. rfc2307, тем более hash deprecated (https://www.samba.org/samba/docs/current/man-html/...
idmap config * : backend = ad <- строчка не верна

idmpa_ad используется для того, что-бы на нескольких серверах были одинаковые uid/gid -> sid mappings. Может быть стоит использоват idmap_rid?

ну а по вопросу, у winbind есть кеш и его просто стоило очистить: "net cache flush" вроде

Как после ввода в домен samba изменить uid gid доменным пользователям (idmap)?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт