使用autorid在多个域的Linux客户端之间保持一致的UID和GID

时间:2015-06-02 16:46:28

标签: linux active-directory samba

这是我目前的设置: 我有2个Active Directory服务器(AD1 = TEST1)(AD2 = TEST2).AD2是受信任的域。 samba版本是3.6.9-168.el6_5。 我已经使用下面的smb.conf文件成功地将我的Linux客户端(红帽企业Linux服务器版本6.5)集成到AD1服务器。我需要为域用户TEST1和TEST2提供一致的UID和GID。 wibinfo -u和-g适用于我,两个域的配置如下。我能够为TEST1域获得一致的UID和GID。但是对于TEST2(可信域),wbinfo -i显示以下错误

# wbinfo -i TEST2\\user1
failed to call wbcGetpwnam: WBC_ERR_DOMAIN_NOT_FOUND
Could not get info for user user1

我当前的smb.conf文件如下

[global]
        workgroup = TEST1
        realm = TEST1.LOCAL
        netbios name = LB001
        security = ads
        winbind offline logon = yes
        allow trusted domains = yes
        winbind enum users = yes
        winbind enum groups = yes
        winbind use default domain = yes
        winbind use default domain = yes
        template home dir = /home/%U

        idmap config * : backend = autorid
        idmap config * : range = 1000000-1999999

        template shell = /bin/bash

需要帮助以使用此autorid选项获取域的一致UID和GID。

提前致谢,

1 个答案:

答案 0 :(得分:0)

首先,wbinfo -i是一个测试nsswitch集成的高级工具。这里不仅仅是Id映射可能会出错。错误消息DOMAIN_NOT_FOUND也具有误导性(wbinfo代码中的错误)。

id映射的原子测试将是:

wbinfo -n TEST2\\user1

为您提供用户的SID(Windows用户ID),然后使用

wbinfo -S SID

使用此sid检查UID分配。同样,使用

wbinfo -Y SID

如果您正在测试组对象。

话虽如此,您无法保证获得与idmap autorid完全相同的配置,因为它将定义的整体范围的子范围按照访问服务器的顺序递增到域。 因此,如果您希望100%确定拥有完全相同的ID,那么您 应考虑使用rid后端使用显式配置, 像这样:

[global]
idmap config * : backend = tdb
idmap config * : range = 1000000-1999999
idmap config TEST1 : backend = rid
idmap config TEST1 : range = 2000000-2999999
idmap config TEST2 : backend = rid
idmap config TEST2 : range = 3000000-3999999