在 SLES 12.1 上同步 UID/GID,winbind 连接到 AD

在 SLES 12.1 上同步 UID/GID,winbind 连接到 AD

我有多个 SLES 12.1 服务器,我通过 加入 AD 域net ads join -u <OU_MANAGER> osName='SLES' osVer='12.1' createcomputer="<OU1>/<OU2>/Servers。需要注意的是,我只有 OU2 的 OU 经理帐户,并不管理 AD 本身。连接成功完成,但有一个典型的DNS_GSS_ERROR问题我无法修复,因为根据故障排除您需要成为 AD 管理员。尽管如此,我还是加入了域,并且当激活允许域用户通过 YaST 登录的选项时(不知何故,当我自己进行 nsswitch.conf、pam 和 sshd 设置时它不起作用),我可以使用域用户登录。

问题是我想同步用户的 UID/GID,因为他们运行分散的 Java 应用程序并且依赖于此。

我目前的/etc/samba/smb.conf情况如下:

[global]
    workgroup = XXXX
    realm = XXXX.YYYY.NET

    security = ADS
    kerberos method = secrets and keytab

    template homedir = /home/%D/%U
    template shell = /bin/bash

    winbind refresh tickets = yes
    idmap gid = 19500-19999
    idmap uid = 19500-19999
    usershare allow guests = No
    winbind offline logon = yes

当我现在尝试将 idmap 更改为以下内容时

[global]
    workgroup = XXXX
    realm = XXXX.YYYY.NET

    security = ADS
    kerberos method = secrets and keytab

    template homedir = /home/%D/%U
    template shell = /bin/bash

    winbind refresh tickets = yes
    #idmap gid = 19500-19999
    #idmap uid = 19500-19999
    idmap config * : backend = tdb
    idmap config * : range = 1000-5000
    idmap config XXXX : backend = rid
    idmap config XXXX : range = 19500-19999
    usershare allow guests = No
    winbind offline logon = yes

然后运行smbcontrol all reload-configsystemctl restart smb winbind将无法再使用域用户登录。我收到以下错误:

Kinit for <Servername>[email protected] to access cifs/<domain controller>[email protected] failed: Preauthentication failed

但我可以使用net ads kerberos kinit -u <OU Manager>kinit -u <OU Manager>所以我没有看到这个问题?

还有其他人有更多想法还是我错过了什么?这是 AD 管理员的错还是我的错?

相关内容