Cross-domain – Les changements d'appartenance au groupe AD ne se reflètent pas dans winbind

J'ai des cas similaires sur ce sujet lors des changements d'appartenance au groupe AD qui ne sont pas reflétés dans les informations de winbind . La seule différence est que cela ne se produit que sur "cross-domain" pour mon scénario.

Voici ma configuration – http://pastebin.ca/3035431 …

J'apprécierais si quelqu'un pourrait me jeter des lumières:

(1) comment laisser la command "id" reflète l'appartenance à un groupe correct.

(2) Comment puis-je rendre Winbind pour refléter l'appartenance au groupe automatiquement une fois qu'il y a eu des modifications dans Active Directory.

Merci!

2 Solutions collect form web for “Cross-domain – Les changements d'appartenance au groupe AD ne se reflètent pas dans winbind”

Avant d'essayer ce que je suggère, comprendre qu'il peut réinitialiser les mappages UID / GID créés par Samba. Je fais cela parce que tout ce qui me préoccupe vient de Active Directory rfc2307, donc je suis à l'aise d'essuyer les caches Samba / Winbindd et de recommencer.

Ce qui m'a finalement travaillé, c'est la suppression de tous les files de / var / cache / samba.

J'ai récemment lutté pour que la list des groupes ne soit mise à jour que pour un identifiant d'user têtu. Mon identifiant user bien sur.

Je ne crois pas que je suis dans une situation de Cross Domain, mais c'est possible. Je suis dans un grand Active Directory multi-domaine, mais je travaillais avec des users et des groupes dans un seul domaine.

J'ai essayé de nombreuses tentatives, y compris "net cache flush", en ajoutant –no-cache to winbindd, et en supprimant group_mapping.tdb, winbindd_idmap.tdb et winbindd_cache.tdb à partir de / var / lib / samba.

Voici un script avec des commands qui nettoient les files de cache Samba / Winbindd:

#!/usr/bin/bash # # Quicky for backing up and removing the # Samba / Winbindd cache files # # This solution worked when a single users group # list would not update when changed in Active # directory. # # # Environment # # CentOS 7 with all updates as of 20150828 # Sernet Samba 4.2.3 - Version 4.2.3-SerNet-RedHat-18.el7 # /usr/bin/sh /etc/init.d/sernet-samba-smbd stop /usr/bin/sh /etc/init.d/sernet-samba-winbindd stop /usr/bin/sh /etc/init.d/sernet-samba-nmbd stop cd /var /usr/bin/tar cbzf 512 samba_var_backup_`date '+%Y%m%d_%H%M%S'`.tgz cache/samba lib/samba log/samba /usr/bin/find cache/samba -type f -exec /usr/bin/rm -f {} \; /usr/bin/rm -f lib/samba/group_mapping.tdb /usr/bin/rm -f lib/samba/winbindd_idmap.tdb /usr/bin/rm -f lib/samba/winbindd_cache.tdb /usr/bin/sh /etc/init.d/sernet-samba-nmbd start /usr/bin/sh /etc/init.d/sernet-samba-winbindd start /usr/bin/sh /etc/init.d/sernet-samba-smbd start 

Je crois que j'ai créé la situation qui a empêché mon identifiant user de ne pas être mis à jour. Sur ce système CentOS 7, j'ai commencé à essayer la command "realm" et la méthode SSSD de parler à Active Directory à l'aide du CentOS 7 embedded dans sssd et Samba qui, je pense, était Samba 4.1.x.

SSSD a presque fonctionné mais était trop lent. Les commands comme «id» et «groups» étaient horribles. Il pense que Samba a lutté parce que les examens étaient trop lents.

J'ai décidé d'essayer le dernier Samba 4.2.x à cause du nouveau winilindd et de l'io plus grand par défaut.

Sernet Samba / Winbindd 4.2.3 semble fonctionner très bien. Samba a rejoint Active Directory sans problème. Les lignes de command "id" et "groupes" sont rapides surtout après la première search.

Voici mon smb.conf pour reference:

 [global] workgroup = PROJECTS security = ads realm = PROJECTS.EXAMPLE.NET kerberos method = secrets and keytab max log size = 50000 log level = 2 template homedir = /home/%U template shell = /bin/bash idmap config PROJECTS : default = yes idmap config PROJECTS : backend = ad idmap config PROJECTS : schema_mode = rfc2307 idmap config PROJECTS : range = 10000-9999999999 idmap config *:backend = tdb idmap config *:range = 2000-3999 winbind nss info = rfc2307 winbind use default domain = yes winbind offline logon = no winbind enum groups = yes winbind enum users = yes winbind refresh tickets = yes # # 20150827 by Joe # Comment out expand groups for now # I added it trying to solve nested groups not working # correctly. Look ups slowed down when I added this and # did not solve the problem for my login. # ## winbind expand groups = 3 os level = 0 local master = no domain master = no preferred master = no # ------------------ Options Joe Likes ------------------------ # path = /tmp force create mode = 0775 force directory mode = 2775 unix extensions = no wide links = yes load printers = no map archive = no map readonly = permissions nt acl support = no #============================ Share Definitions ============================== [projects] path = /disks/projects/projects_share comment = Projects Storage writeable = Yes browseable = yes guest ok = no 

Il semble que cela supprime le cache et force winbind à extraire des informations de ADC:

 service winbind stop rm /var/cache/samba/netsamlogon_cache.tdb service winbind start 
  • La machine Linux est dans un domaine Windows, mais l'ouverture de session de domaine ne fonctionne pas
  • Apache + PAM + Winbind slow logins
  • winbind doit être restauré après le démarrage
  • Le travail de groupe ne fonctionne pas pour les groupes AD
  • linux - authentification des annonces Windows - pourquoi join le domaine?
  • Winbind oublie qui je suis
  • winbind from samba 3.6.3 sur Linux fonctionne mais ne s'intègre pas avec le operating system?
  • Samba / Winbind rencontre joing dans le domaine du active directory
  • Winbindd: kinit a réussi mais ads_sasl_spnego_krb5_bind a échoué: Impossible de contacter un KDC pour le domaine demandé
  • L'intégration de l'annuaire actif ne fonctionne pas correctement avec winbind et samba
  • Rejoindre Linux cloné VM à Active Directory
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.