Самба Winbind в доверенном лесу не может перечислить членство в группе.

Вопрос или проблема

Ответ или решение

Ваше обращение касается проблемы с использованием Samba Winbind на компьютере, который входит в домен и подключен к доверенным лесам Active Directory. Основная проблема заключается в том, что система не может корректно определить членство пользователей из второго леса (Forest B) в группах, за исключением группы "Domain Users". При выполнении команды id B\USERNAME, система возвращает только идентификаторы пользователя (uid) и идентификатор группы "Domain Users" (gid). Однако после ввода пользователя в систему через SSH, информация о членстве в группах становится доступной.

Для решения этой проблемы необходимо учитывать несколько ключевых аспектов:

Теория

Samba и Winbind служат для интеграции UNIX-систем в инфраструктуру Active Directory и управления учетными записями пользователей. Winbind обеспечивает разрешение имен и авторизацию, обращаясь к домену Active Directory. В случае доверенных лесов, все немного сложнее, поскольку требуется правильная конфигурация для того, чтобы Winbind мог обращаться к контроллерам домена в разных лесах.

Примеры

1. Настройки smb.conf: Правильная конфигурация файла /etc/samba/smb.conf критична для того, чтобы Winbind мог управлять учетными записями из доверенного леса. Например, передача параметра winbind use default domain = true может повлиять на поведение разрешения групп.

2. Кеширование Winbind: Если Winbind неправильно работает с кешем учетных записей пользователей и групп, это может привести к подобным проблемам. Кеш хранится в файлах, таких как /var/lib/samba/winbindd_cache.tdb.

3. Контроль зона повторного входа: Интересным моментом является то, что после входа через SSH информация о группах обновляется. Это указывает на то, что, возможно, есть проблема с начальной синхронизацией или дополнительным триггером для проверки членства в группах, который срабатывает при интерактивном входе в систему.

Применение

1. Проверка Конфигурации: Проверьте настройки smb.conf. Убедитесь, что у вас указаны такие параметры, как winbind enum users = yes и winbind enum groups = yes. Эти параметры позволяют перечислять пользователям и группам.

2. Обновление Winbind: Убедитесь, что версии Samba и Winbind обновлены до последних стабильных версий. Это может исправить известные баги, связанные с управлением учетными записями из доверенных доменов.

3. Логи Samba и Winbind: Проверьте логи /var/log/samba/log.winbindd и /var/log/samba/log.smbd на наличие ошибок или предупреждений, связанных с доменами и разрешением групп.

4. Тестирование связи: Используйте команду wbinfo --all-domains для проверки списка доменов, с которыми может связаться Winbind. Запуск wbinfo -u и wbinfo -g может также дать представление о том, как Winbind видит пользователей и группы.

5. Конфигурации Kerberos: Убедитесь, что настройки Kerberos (обычно krb5.conf) поддерживают все нужные домены и указывают на корректные KDC серверы для каждого из ваших лесов.

6. Использование RID Backend: Если вы используете ID Mapping, убедитесь, что вы используете подходящий backend, такой как ad или rid, который поддерживает вашу инфраструктуру Active Directory.

Рассмотрев эти аспекты, вы можете улучшить интеграцию вашей системы в экосистему Active Directory, особенно в контексте взаимодействия с несколькими доверенными лесами. Если проблема сохраняется, возможно, стоит детализировать проблемы и обратиться за поддержкой в соответствующие технические сообщества или к специалистам в области настройки Samba и Winbind. Это может помочь в выявлении специфических для вашего окружения настроек и расширений конфигурации.