1 votes

user1492810 avatar

le comportement du séparateur winbind et du nom du groupe dans le groupe getent, qui change constamment

Demandé el 4 de Juillet, 2013
Quand la question a-t-elle été
3701 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Ouvert
Situation réelle de la question

J'ai un problème qui apparaît et disparaît de temps en temps et qui me rend folle.

Mes serveurs Debian sont authentifiés par rapport à AD et seul le membre du groupe " linuxadmins " peut se connecter en SSH au serveur et faire " sudo su ".

La connexion SSH fonctionne, pas de problème, mais les utilisateurs obtiennent des erreurs "l'utilisateur xyz n'est pas dans les sudoers" en utilisant sudo.

mon /etc/sudoers contient le nom du groupe AD

%linuxadmins ALL =(ALL) ALL

Et conf samba

#GLOBAL PARAMETERS
[global]
   workgroup = RKAS
   realm = RKAS.RK
   preferred master = no
   server string = SEP DEV Server
   security = ADS
   encrypt passwords = true
   log level = 3
   log file = /var/log/samba/%m
   max log size = 50
   printcap name = cups
   printing = cups
   winbind enum users = Yes
   winbind enum groups = Yes
   winbind use default domain = Yes
   winbind nested groups = Yes
   #winbind separator = +
   #idmap uid = 600-20000
   #idmap gid = 600-20000
   ;template primary group = "Domain Users"
   template shell = /bin/bash
   template homedir = /home/%D/%U
   winbind offline logon = yes
   winbind refresh tickets = yes

Le problème réside dans le séparateur de groupes que gère samba.

getent group | grep linuxadmins

donne deux résultats différents en l'espace de quelques minutes

linuxadmins:x:784:xyz

o

\linuxadmins:x:784:xyz

Les utilisateurs ne sont capables de sudo que s'il n'y a pas de baskslash.

Qu'est-ce qu'il y a ? Je ne comprends pas pourquoi il ajoute constamment des barres obliques inverses et les supprime dans les noms de groupe ?

compte commun :

account [success=2 new_authtok_reqd=done default=ignore]        pam_unix.so
account [success=1 new_authtok_reqd=done default=ignore]        pam_winbind.so
account required                        pam_permit.so

common-auth :

auth    [success=2 default=ignore]      pam_unix.so nullok_secure
auth    [success=1 default=ignore]      pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login require_membership_of=linuxadmins try_first_pass
auth    required                        pam_permit.so

et pas de système commun, seulement une session

session     required    pam_mkhomedir.so umask=0022 skel=/etc/skel

Je dois ajouter que ce comportement se produit sur tous les serveurs linux.

Demandé el 4 de Juillet, 2013 par user1492810

0 votes

Avatar de Pablo Venturino

Tous les utilisateurs ont-ils des attributs uidNumber, de même que des attributs gidNumber pour les groupes ?

Commenté el 4 de Juillet, 2013 par Pablo Venturino

0 votes

Avatar de user1492810

J'ai désactivé l'UID et le GID de smb.conf car ils sont dépendants. Mais il semble que oui, les utilisateurs ont leur UID sans smb.conf (en utilisant Debian 6 et 7).

Commenté el 4 de Juillet, 2013 par user1492810

0 votes

Avatar de Pablo Venturino

Derp, c'est ce que je voulais dire ;)

Commenté el 4 de Juillet, 2013 par Pablo Venturino

Réponse

Trop de publicités?

0voto

Pablo Venturino avatar
Pablo Venturino Points 1660

Bon, alors en fait idmap uid range est déprécié, mais il a été remplacé par ceci :

idmap backend = ad
idmap config *:backend = ad
idmap config *:range = 10000-20000

Tu vois, ce que je pense qu'il se passe.. C'est que samba (et les modules associés) ne sait pas comment attribuer le bon id/uid à un utilisateur.

Je mettrais ces 3 lignes dans /etc/samba/smb.conf , Effacez les fichiers de cache samba (ils sont tous recréés). rm -rf /var/lib/samba/* Redémarrez tous les services samba, winbindd , smbd , nmbd et ensuite faire un essai avec wbinfo -u , wbinfo -g , wbinfo -i $id

Vous devez également vous assurer que tous les utilisateurs et groupes ont un numéro d'utilisateur et un numéro d'identité (Active Directory Administrative Center, cliquez avec le bouton droit de la souris sur un utilisateur, ouvrez les propriétés, trouvez l'éditeur d'attributs, définissez le numéro d'utilisateur et le numéro d'identité s'ils ne sont pas déjà définis).

Vous devez également avoir un numéro de gid pour les groupes de l'arborescence, y compris les utilisateurs du domaine.

Répondu el 4 de Juillet, 2013 par Pablo Venturino (1660 Points )

0 votes

Avatar de user1492810

Cela s'est mal terminé. Maintenant, wbinfo fonctionne mais getent ne voit pas les utilisateurs et les groupes AD. Je peux donc me connecter en tant que compte de service local que j'ai créé pour le remplacement de la racine.

Commenté el 4 de Juillet, 2013 par user1492810

0 votes

Avatar de Pablo Venturino

Intéressant. Pouvez-vous afficher /etc/pam.d/common-account, common-auth, et common-system ?

Commenté el 4 de Juillet, 2013 par Pablo Venturino

0 votes

Avatar de user1492810

Je modifie mon message original

Commenté el 4 de Juillet, 2013 par user1492810
Afficher 12 autres commentaires

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X