我有多个 SLES 12.1 服务器,我通过 加入 AD 域net ads join -u <OU_MANAGER> osName='SLES' osVer='12.1' createcomputer="<OU1>/<OU2>/Servers。需要注意的是,我只有 OU2 的 OU 经理帐户,并不管理 AD 本身。连接成功完成,但有一个典型的DNS_GSS_ERROR问题我无法修复,因为根据故障排除您需要成为 AD 管理员。尽管如此,我还是加入了域,并且当激活允许域用户通过 YaST 登录的选项时(不知何故,当我自己进行 nsswitch.conf、pam 和 sshd 设置时它不起作用),我可以使用域用户登录。
问题是我想同步用户的 UID/GID,因为他们运行分散的 Java 应用程序并且依赖于此。
我目前的/etc/samba/smb.conf情况如下:
[global]
workgroup = XXXX
realm = XXXX.YYYY.NET
security = ADS
kerberos method = secrets and keytab
template homedir = /home/%D/%U
template shell = /bin/bash
winbind refresh tickets = yes
idmap gid = 19500-19999
idmap uid = 19500-19999
usershare allow guests = No
winbind offline logon = yes
当我现在尝试将 idmap 更改为以下内容时
[global]
workgroup = XXXX
realm = XXXX.YYYY.NET
security = ADS
kerberos method = secrets and keytab
template homedir = /home/%D/%U
template shell = /bin/bash
winbind refresh tickets = yes
#idmap gid = 19500-19999
#idmap uid = 19500-19999
idmap config * : backend = tdb
idmap config * : range = 1000-5000
idmap config XXXX : backend = rid
idmap config XXXX : range = 19500-19999
usershare allow guests = No
winbind offline logon = yes
然后运行smbcontrol all reload-config我systemctl restart smb winbind将无法再使用域用户登录。我收到以下错误:
Kinit for <Servername>[email protected] to access cifs/<domain controller>[email protected] failed: Preauthentication failed
但我可以使用net ads kerberos kinit -u <OU Manager>,kinit -u <OU Manager>所以我没有看到这个问题?
还有其他人有更多想法还是我错过了什么?这是 AD 管理员的错还是我的错?