Samba Winbind не работает в Debian 8

Вопрос или проблема

[global]
    workgroup = x
    security = ads
    realm = x.LOCAL
    domain master = no
    local master = no
    preferred master = no
    printcap name = /etc/printcap
    load printers = no
    idmap config * : backend = tdb
    idmap config * : range = 10001-20000
    idmap config x : schema_mode = rfc2307
    idmap config x : backend = rid
    idmap config x : range = 500-20000
    winbind enum users = yes
    winbind enum groups = yes
    winbind use default domain = yes
    winbind nested groups = yes
    winbind refresh tickets = yes
    winbind offline logon = true
    template homedir = /home/%D/%U
    template shell = /bin/bash
    client use spnego = yes
    client ntlmv2 auth = yes
    encrypt passwords = yes
    restrict anonymous = 2
    log file = /var/log/samba/samba.log
    log level = 2

    [libdefaults]
        ticket_lifetime = 24h
        default_realm = x.LOCAL
        forwardable = true

[realms]
        x.LOCAL = {
                       kdc = pdc.fqdn
                       default_domain = x.local
                       }

[domain_realm]
        .x.local = x.LOCAL
        x.local = x.LOCAL

[kdc]
        profile = /etc/krb5kdc/kdc.conf

[appdefaults]
        pam = {
            debug = false
            ticket_lifetime = 36000
            renew_lifetime = 36000
            forwardable = tru
            krb4_convert = false
            }

[logging]
        kdc = FILE:/var/log/krb5kdc.log
        admin_server = FILE:/var/log/kadmin.log
        default = FILE:/var/log/krb5lib.log

passwd:         files winbind
group:          files winbind
shadow:         files winbind
gshadow:        files

hosts:          files dns wins
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

$ grep "Domain Users" /etc/group

# addgroup "Domain Users" (как root)

.

Ответ или решение

Проблема с настройкой Samba и Winbind на Debian 8 (Jessie) может быть очень запутанной, особенно когда необходимо обеспечить взаимодействие с Active Directory (AD) и интеграцию Linux-клиентов. Давайте рассмотрим потенциальные причины и решения, основываясь на представленном вами конфигурационных файлах и дополнительных сведениях.

Теория

Проблема с группой "Domain Users"

Первоначальная ошибка заключается в том, что нет возможности изменить группу для каталога /share на "Domain Users". Это может указывать на проблему с разрешением имен групп из Active Directory в Linux-системе. Важный этап интеграции заключается в том, чтобы Linux смог корректно распознать доменные группы и пользователей.

Интеграция с Winbind

Winbind — это компонент пакета Samba, который позволяет Linux и UNIX-системам взаимодействовать с учетными записями пользователей, управляемыми в доменной среде Windows. Он позволяет Linux использовать учетные данные из Active Directory для аутентификации и авторизации.

Пример

Ваша конфигурация smb.conf выглядит корректно с точки зрения определения параметров интеграции. Однако важно обратить внимание на следующие нюансы:

1. Конфигурация NSS (Name Service Switch)
   Убедитесь, что в файле /etc/nsswitch.conf у вас указаны winbind как часть модулей для passwd, group, и shadow. Это позволяет системе правильно разрешать учетные записи AD через Winbind.

2. Проверка присутствия группы в системе
   Для начала, проверьте, распознаётся ли группа "Domain Users" командой:

   grep "Domain Users" /etc/group

   Если она не возвращает ничего, убедитесь, что Winbind корректно работает, используя команду:

   wbinfo -g | grep "Domain Users"

   Эта команда должна вернуть список всех групп, включая группу "Domain Users". Если это не так, значит, проблема может быть в неправильной конфигурации Winbind.

3. Установка необходимых пакетов

   Убедитесь, что установлены все необходимые пакеты:

   apt-get install libnss-winbind libpam-winbind

   Данные пакеты необходимы для корректной работы Winbind с NSS.

Применение

Исправление ошибок в конфигурации

1. Проверка и исправление конфигурации Samba и Winbind

   Проверьте конфигурационные файлы на наличие опечаток или ошибок в структуре. Убедитесь, что все доменные имена и параметры указаны корректно.

2. Обновление системы и перезапуск сервисов

   Обновите ваши пакеты до последних версий, так как более новые версии могут содержать исправления известных проблем:

   apt-get update
   apt-get upgrade

   После этого перезапустите службы Samba и Winbind:

   service smbd restart
   service nmbd restart
   service winbind restart

3. Диагностика через тестовые команды

   Используйте команду wbinfo -u и wbinfo -g для проверки правильности работы Winbind. Это покажет всех пользователей и группы, которые могут быть распознаны. Если команда id [DOMAINUSER] не возвращает информацию о пользователе, это может говорит о проблемах в конфигурации.

4. Настройка PAM (Pluggable Authentication Modules)

   Убедитесь, что файл /etc/pam.d/common-session содержит необходимую строку для создания домашнего каталога пользователя:

   session required pam_mkhomedir.so skel=/etc/skel/ umask=0077

Это необходимо для автоматического создания домашнего каталога, когда пользователь входит в систему впервые.

Дополнительные рекомендации

• Журналы ошибок: Проверьте файлы журналов, которые находятся в /var/log/samba/ и /var/log/ для поиска дополнительных подсказок о проблемах.
• Документация и руководства: Ознакомьтесь с другими руководствами по интеграции Samba с Active Directory, чтобы убедиться, что ничего не упущено.

Следуя вышеуказанным рекомендациям и тщательно анализируя вашу текущую конфигурацию, вы сможете выявить и устранить проблему, с которой сталкивается ваша система. Возможно, вам потребуется больше экспериментировать с параметрами или расширить диагностику, но эти шаги должны помочь исправить большинство стандартных проблем с интеграцией Samba и Winbind в среде Debian 8.