Перекрестный домен - AD изменения состава группы, не отраженные в winbind
У меня есть подобные случаи на этом потоке в AD изменениях состава группы, не отраженных в winbind информации. Единственная разница - то, что это только происходит на "перекрестном домене" для моего сценария.
Вот моя конфигурация - http://pastebin.ca/3035431...
Я ценил бы, если кто-либо мог бы потерять меня некоторые световые сигналы на:
(1) как позволить "идентификационной" команде отразить корректный состав группы.
(2) как я могу сделать Winbind для отражения состава группы автоматически, после того как существуют изменения, были сделаны в Active Directory.
Спасибо!
Antes de intentar lo que sugiero, entienda que puede restablecer las asignaciones UID / GID que fueron creadas por Samba. Hago esto porque todo lo que me importa proviene de Active Directory rfc2307, así que me siento cómodo limpiando las cachés de Samba / Winbindd y comenzando de nuevo.
Lo que finalmente funcionó para mí fue eliminar todos los archivos de /var/cache/samba.
Recientemente luché para que la lista de grupos se actualizara solo para una identificación de usuario obstinada. Mi identificación de usuario, por supuesto.
No creo que esté en una situación de dominio cruzado, pero es posible. Estoy en un directorio activo de múltiples dominios pero estaba trabajando con usuarios y grupos en un solo dominio.
Intenté muchos intentos, incluido "borrado de caché de red", agregando --no-caching a winbindd y eliminando group_mapping. tdb, winbindd_idmap.tdb y winbindd_cache.tdb de /var/lib/samba.
Aquí hay un script con comandos que limpian los archivos de caché de Samba / Winbindd:
#!/usr/bin/bash
#
# Quicky for backing up and removing the
# Samba / Winbindd cache files
#
# This solution worked when a single users group
# list would not update when changed in Active
# directory.
#
#
# Environment
#
# CentOS 7 with all updates as of 20150828
# Sernet Samba 4.2.3 - Version 4.2.3-SerNet-RedHat-18.el7
#
/usr/bin/sh /etc/init.d/sernet-samba-smbd stop
/usr/bin/sh /etc/init.d/sernet-samba-winbindd stop
/usr/bin/sh /etc/init.d/sernet-samba-nmbd stop
cd /var
/usr/bin/tar cbzf 512 samba_var_backup_`date '+%Y%m%d_%H%M%S'`.tgz cache/samba lib/samba log/samba
/usr/bin/find cache/samba -type f -exec /usr/bin/rm -f {} \;
/usr/bin/rm -f lib/samba/group_mapping.tdb
/usr/bin/rm -f lib/samba/winbindd_idmap.tdb
/usr/bin/rm -f lib/samba/winbindd_cache.tdb
/usr/bin/sh /etc/init.d/sernet-samba-nmbd start
/usr/bin/sh /etc/init.d/sernet-samba-winbindd start
/usr/bin/sh /etc/init.d/sernet-samba-smbd start
Creo que creé la situación que causó a mi usuario id para no actualizar. En este sistema CentOS 7, comencé probando el comando "realm" y el método SSSD para hablar con Active Directory usando CentOS 7 integrado en sssd y Samba, que creo que era Samba 4.1.x.
SSSD casi funcionó, pero también lento. Los comandos como "id" y "grupos" eran horriblemente lentos. Creo que Samba tuvo problemas porque las búsquedas eran demasiado lentas.
Decidí probar la última versión de Samba 4.2.x debido al nuevo winbindd y al io más grande predeterminado.
Sernet Samba / Winbindd 4.2.3 parece estar funcionando muy bien. Samba se unió a Active Directory sin problemas. La línea de comandos "id" y "groups" son rápidos, especialmente después de la primera búsqueda.
Aquí está mi smb.conf como referencia:
[global]
workgroup = PROJECTS
security = ads
realm = PROJECTS.EXAMPLE.NET
kerberos method = secrets and keytab
max log size = 50000
log level = 2
template homedir = /home/%U
template shell = /bin/bash
idmap config PROJECTS : default = yes
idmap config PROJECTS : backend = ad
idmap config PROJECTS : schema_mode = rfc2307
idmap config PROJECTS : range = 10000-9999999999
idmap config *:backend = tdb
idmap config *:range = 2000-3999
winbind nss info = rfc2307
winbind use default domain = yes
winbind offline logon = no
winbind enum groups = yes
winbind enum users = yes
winbind refresh tickets = yes
#
# 20150827 by Joe
# Comment out expand groups for now
# I added it trying to solve nested groups not working
# correctly. Look ups slowed down when I added this and
# did not solve the problem for my login.
#
## winbind expand groups = 3
os level = 0
local master = no
domain master = no
preferred master = no
# ------------------ Options Joe Likes ------------------------
#
path = /tmp
force create mode = 0775
force directory mode = 2775
unix extensions = no
wide links = yes
load printers = no
map archive = no
map readonly = permissions
nt acl support = no
#============================ Share Definitions ==============================
[projects]
path = /disks/projects/projects_share
comment = Projects Storage
writeable = Yes
browseable = yes
guest ok = no
Кажется, это удаляет кэш и заставляет winbind извлекать информацию из ADC:
service winbind stop
rm /var/cache/samba/netsamlogon_cache.tdb
service winbind start