ubuntuusers.de

SAMBA AD Client (winbind)

Status: Ungelöst | Ubuntu-Version: Ubuntu 16.04 (Xenial Xerus)
Antworten |

lama0900

Anmeldungsdatum:
17. Mai 2017

Beiträge: Zähle...

Hallo,

Ich habe ein Problem, bei dem ich langsam nicht mehr weiter weiß. Es wurde auf einem Client in meiner MS Windows Server 2012R2 Active Directory ein PC mit samba eingerichtet mit der folgenden smb.conf:

[global]

workgroup = EXAMPLE
realm = EXAMPLE.TEST.DE
security = ads
encrypt passwords = yes
idmap config * : backend = tdb
idmap config * : range = 1000000-1999999
idmap config EXAMPLE : backend  = ad
idmap config EXAMPLE : range = 1000-999999
winbind use default domain = yes
winbind nss info = rfc2307
winbind enum users  = yes
winbind enum groups = yes
winbind refresh tickets = yes
template homedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes
client ntlmv2 auth = yes
vfs objects = acl_xattr
map acl inherit = Yes
store dos attributes = Yes

Es wurde ein Kerberos Ticket via kinit geholt und der Client erfolgreich in die Domäne gejoint. Ein Test von wbinfo -u listet alle Benutzer und wbinfo -g alle Gruppen.

Weiter können sich User per su - EXAMPLE\\testuser anmelden. Hier kommt nun aber ein Fehler:

su - EXAMPLE\\testuser
Password: 
groups: Es ist kein Name zur Gruppen‐ID 2000 zu finden

Der user kann sich trotzdem erfolgreich anmelden.

Es wurde versucht:

wbinfo --gid-info=2000
failed to call wbcGetgrgid: WBC_ERR_DOMAIN_NOT_FOUND
Could not get info for gid 2000

So und jetzt frage ich mich, wo der Fehler liegt. Ich habe noch herausgefunden, dass die SID der Gruppe 2000 folgende ist:

wbinfo -G 2000
S-1-18-1

Was mache ich falsch?

P.S.: nsswitch.conf ist natürlich bei passwd und group um winbind erweitert worden.

Grüße lama

cflinux

Anmeldungsdatum:
14. Januar 2013

Beiträge: 685

Hallo

stell mal bei dieser Zeile

idmap config EXAMPLE : backend  = ad

statt ad rid ein.

Gruß cflinux

lama0900

(Themenstarter)

Anmeldungsdatum:
17. Mai 2017

Beiträge: 2

Hallo,

Also, das hat leider nichts geändert/gebracht. Andere Ideen?

Habe mittlerweile versucht die Anbindung mit SSSD zu realisieren. Da funktioniert das ganze. Mit SSSD bekomme ich aber keinen Short-Domain-Name zum laufen. Entweder die User melden sich nur mit "username" an oder müssen "username@BLA.BLA.EXAMPLE.DE" eingeben. Letzteres ist etwas mühselig, wenn der Domainname nunmal etwas länger ist..

Gibt es mit SSSD keine Möglichkeit einen Short-Domainname zu verwenden?! sobald ich "use_fully_qualified_names = false" setze, ist ein Anmelden mit "username" möglich, das ist aber problematisch, wenn User bereits lokal angelegt sind (weil bisher keine AD Anbindung).

Grüße

Antworten |