尝试设置 Linux 服务器来验证公司活动目录中的用户时,我们遇到了一个问题。我们使用 SAMBA、winbind、krb5 和 PAM。
尝试列出系统中的用户时出现问题。winbind 尝试在公司分支机构的所有受信任域中查找这些用户。由于无法从 Linux 服务器访问这些用户,因此我们遇到了超时。
我们如何告诉 samba 或 winbind 仅寻找父域中的用户并避开其余用户?
我们希望来自 的用户company.com,但不是来自branch1.comapny.com。
编辑:
RH4 上的 SAMBA 版本是 3.0.33。
答案1
听起来像这个功能从 Samba 3.0.26 之前的版本退化。 已提出补丁而且确实如此重新添加到 Samba 3.3。
如果你准备自己修补 Samba 的源代码,有一个“仅限域名”补丁,它是“忽略域”的逆操作。
答案2
您可以将此选项添加到 smb.conf:
allow trusted domains = no
答案3
实际上,我在办公室的 Ubuntu 工作站上安装了此设置,因此我不必使用 Windows,但仍可通过域 AD 进行身份验证。我们有几个受信任的域,因此我将其限制为用于工作站登录的主要 AD 域。我相信我已经找到了所有相关条目,因此如果您遇到问题,请告诉我,我会寻找可能分散在配置中的其他散乱项。
idmap uid = 2000-50000000
idmap gid = 2000-50000000
idmap backend = rid:DOMAIN=2000-50000000
template shell = /bin/bash
template homedir = /home/%D/%U
winbind use default domain = yes
allow trusted domains = No
password server = FQDN-of-AD-Server
use kerberos keytab = true
另外值得注意的是,我必须确保 Samba 和 Winbind 几乎最后启动,以便能够在系统重启后进行身份验证。