(Редактирование на 05.07.2017) я обычно рекомендовал бы использовать sssd теперь. Отъезд исходного ответа ниже для исторической ссылки. Мои текущие примечания для Ubuntu:
apt-get install openssh-server sssd-ad realmd packagekit
realm -v join example.com --computer-ou="OU=someOU,DC=example,DC=com" --user=someuser
/etc/sssd/sssd.conf
, [sssd]
разделите, добавьте default_domain_suffix = example.com
и full_name_format = %1$s
. В [domain/example.com]
раздел, редактирование fallback_homedir = /home/%d/%u
и добавьте ignore_group_members = True
. Для больших доменов добавить enumerate = false
препятствовать тому, чтобы sssd пересек на всем протяжении AD, ища составы группы (и задержав некэшируемые логины в течение минуты или два каждый).session required pam_mkhomedir.so skel=/etc/skel/ umask=0076
в конце /etc/pam.d/common-session
. (или безотносительно umask Вы хочу использовать).sssd
сервис с service sssd restart
.ssh localhost
.winbind
составил бы UIDs по умолчанию на более старых версиях Samba или должен будет относиться к хранилищу LDAP для хранения всего последовательным. Это не имело место в течение некоторого времени теперь (ноябрь 2004, если моя информация корректна)- idmap_rid
бэкенд, который может генерировать UIDs от Active Directory RID (относительный identifiter, часть SID пользователя).
Я описал свою конфигурацию для связи систем Debian в существующий AD здесь - это использует Марионетку, но если Вы только прочитываете его для начальной точки на Samba и конфигурациях PAM, это должно работать над любой сопоставимой системой UNIX.
Обратите внимание, что я не использую SFU или изменяю AD схему всегда. Все, что я хотел, было непротиворечивым множеством UIDs для моих пользователей.
if it's the app you are trying to debug or make it handle the error proper, make it connect on a fake redis server (e.g. on your linux machine IP.AD.RE.SS:61610) and drop the packets to that port with iptables. drop, don't reject (iptables -A INPUT -p tcp --dport 61610 -j DROP. that should give you an ETIMEDOUT locally when trying to connect to fake server. if you just want RANDOM timeouts you can doit from iptables as well (forward only some connections to real redis service and drop the rest)