Сопоставление идентификаторов с помощью SSSD и SMB

I ' м пытаюсь заставить общий ресурс samba работать с правильными идентификаторами на клиентах Windows (SID) и Linux (uid / gid). Проблема в том, что идентификаторы uid и gid не отображаются должным образом на идентификаторы безопасности, а идентификаторы безопасности не разрешаются в имена. Что может привести к этой проблеме и как ее исправить?

Что работает

• сопоставление атрибутов Active Directory UNIX с uid / gid в Linux
• доступ к общему ресурсу
  • Windows: UNC-путь в проводнике, билет Kerberos принимается (учетные данные не нужны)
  • Linux: sudo mount -t cifs // ribonas2 / test / mnt / ribonas2 / smb / -o domain = ДОМЕН, имя пользователя = paul.jaehne
• работа с файлами на общем ресурсе

Что не работает

• файлы, созданные в Windows, имеют пользователя Unix \ и Unix Group \ (UNIX uid и gid также видны на очень короткое время при открытии вкладки безопасности) вместо DOMAIN \ в качестве префикса для пользователей и групп
• добавление разрешений некорректно: я могу добавлять участников из домен и вскоре после этого ДОМЕН \ что угодно отображается правильно. Когда я жду какое-то время или смотрю на общий ресурс с другого компьютера, отображается только SID (SID правильный, но не сопоставлен с именем):
  • Ubuntu 16.04 Руководство по файловому серверу SAMBA
  • Ubuntu 16.04 Руководство по SSSD AD
  • Член домена SAMBA вики
  • SAMBA wiki ACL
• несколько контроллеров домена (Windows Server 2003 и Windows Server 2012 R2)
• Active Directory схема из Windows Server 2003
• Ubuntu Server 16.04
  • SSSD 1.13.4-1ubuntu1.1
  • SMB 2: 4.3.8 + dfsg-0ubuntu1
  • объединен как с realm join , так и с net ads join

sssd. conf :

[sssd]
domains = domain.company.com
config_file_version = 2
services = nss, pam

[domain/domain.company.com]
realmd_tags = manages-system joined-with-adcli
ad_domain = domain.company.com
krb5_realm = DOMAIN.COMPANY.COM

id_provider = ad
cache_credentials = True
krb5_store_password_if_offline = True
enumerate = True
use_fully_qualified_names = False

fallback_homedir = /home/%d/%u
default_shell = /bin/bash

# use uid and gid from active directory
ldap_id_mapping = False

# needed to use correct active directory properties (Windows Server 2003)
ldap_schema = ad
ldap_user_object_class = person
ldap_user_name = msSFU30Name
ldap_user_uid_number = msSFU30UidNumber
ldap_user_gid_number = msSFU30GidNumber
ldap_user_home_directory = msSFU30HomeDirectory
ldap_user_shell = msSFU30LoginShell
ldap_user_gecos = displayName
ldap_group_object_class = group
ldap_group_name = msSFU30Name
ldap_group_gid_number = msSFU30GidNumber

smb.conf (настройки из стандартного конфигурационного файла с отступом):

[global]
server role = member server
workgroup = DOMAIN
realm = DOMAIN.COMPANY.COM
security = ads
password server = dc1.domain.company.com # shouldn't be necessary and same problem without this line
idmap config * : backend = tdb
idmap config * : range = 100000-999999
idmap config DOMAIN : backend = ad
idmap config DOMAIN : range = 10000-20000 # the UNIX attributes are manually assigned in this range
kerberos method = secrets and keytab

    server string = %h server (Samba, Ubuntu)

    dns proxy = no

    log file = /var/log/samba/log.%m
log level = 10
    max log size = 1000
    syslog = 0

    panic action = /usr/share/samba/panic-action %d

    passdb backend = tdbsam
    obey pam restrictions = yes
    unix password sync = yes
    passwd program = /usr/bin/passwd %u
    passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
    pam password change = yes

    map to guest = bad user

    usershare allow guests = yes

# needed for Windows ACL/ACE
vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes

[test]
    path = /srv/samba/test
    writable = yes

TL; DR : Почему атрибуты UNIX не разрешаются в SID и почему Идентификаторы безопасности разрешены в имена?