web-dev-qa-db-fra.com

ne vous connectez pas avec l'utilisateur AD lorsque "Winbind utilise le domaine par défaut" non défini

J'ai un contrôleur de domaine Samba4 et j'ai ajouté un serveur membre Ubuntu 16.04 au domaine. J'utilise samba + winbind pour cela et tout semble fonctionner. Le backend idmap est configuré avec "ad". Voici le smb.conf pour référence.

[global]
        workgroup = name
        realm = NAME.DOMAIN.COM
        netbios name = app02
        security = ADS
        log file = /var/log/samba/%m.log
        log level = 1

        # Default idmap config for local BUILTIN accounts and groups
        idmap config * : backend = tdb
        idmap config * : range = 3000-7999

        # idmap config for the NAME domain
        idmap config NAME:backend = ad
        idmap config NAME:schema_mode = rfc2307
        idmap config NAME:range = 10000-999999

        # Template settings for login Shell and home directory
        winbind nss info = template
        template Shell = /bin/bash
        template homedir = /home/%U
        winbind use default domain = yes

Le problème que j'ai est lié à l'authentification (SSH) lorsque je ne définis PAS winbind use default domain = yes dans smb.conf.

Lorsque vous définissez cette valeur sur yes, les différentes commandes telles que wbinfo -u, wbinfo -g, getent passwd UserName renverront un compte SANS le nom de domaine. Si vous ne le définissez pas, vous obtenez des résultats tels que Domain\UserName et Domain\Domain Users. La raison pour laquelle vous ne souhaitez peut-être pas définir ceci est que cela limiterait vos connexions à un seul domaine.

Cependant, lorsque je supprime ce paramètre de smb.conf, je ne peux plus me connecter. Je soupçonne que c'est un problème de formatage lorsque vous essayez de fournir le domaine\nom d'utilisateur lors de la connexion SSH. J'ai essayé domaine\nom d'utilisateur, domaine + nom d'utilisateur, nom d'utilisateur et nom d'utilisateur @ domaine. Tous ont échoué.

Quelqu'un sait-il comment faire en sorte que les connexions SSH fonctionnent pour ces utilisateurs AD lorsque winbind use default domain n'est pas défini?

2
JayG30

Compris le problème

Je retirais le paramètre winbind use default domain dans smb.conf, puis j'utilisais Sudo smbcontrol all reload-config. Je pensais que cela suffirait à tout remettre en ordre, mais ce ne l'était pas.

Pour une raison quelconque, Winbind ne mettait pas à jour. Je dois arrêter le service, vider le cache et redémarrer.

service winbind stop
net cache flush
service winbind start

Étrangement, une fois que j'ai fait cela, le problème n'a pas refait surface. Je peux maintenant modifier le paramètre winbind use default domain et/ou le winbind separator, exécuter Sudo smbcontrol all reload-config et les informations de connexion se modifient et fonctionnent.

2
JayG30