回到 samba-winbind 4.4 时代,您可以为 AD 用户设置默认模板 shell 和模板目录,但使用 rfc2307 覆盖这些默认值。这很有用,因为我们可以允许普通用户使用其域凭据访问数据库,但阻止他们获得 shell 访问权限(通过将模板 shell 设置为 /sbin/nologin),同时使用 rfc2307 覆盖高级用户的模板 shell。这特别有用,因为我可以在生产主机上将模板设置为 /sbin/nologin,但在开发主机上将其设置为 /usr/bin/bash,这对那些用户(尤其是开发人员)获得 shell 访问权限很有用,也很合适。可以找到有关如何实现此操作的快速总结这里。
然而,在 samba-winbind-4.8-3(实际上 4.6 或更新版本)下,支持 rfc2307 的 smb.conf 参数发生了很大变化(请参阅这里),我无法让上述配置正常工作。现在看来,要么全有,要么全无。我可以任何一个配置它,以便它使用模板每个人并忽略 rfc2307,或者这样它就可以对域中的任何人都使用 rfc2307,并且拒绝任何没有在 AD 中定义 rfc2307 配置文件的用户。
我们的企业规模很小,可以为每个人定义 rfc2307,但是这会阻止我们拥有只允许访问某些主机上的 shell 但不允许访问其他主机上的 shell 的用户(因为 rfc2307 shell 适用于整个域)。
有人能解决这个问题吗?有没有办法鱼与熊掌兼得?我是不是用不了太多的比喻了?