web-dev-qa-db-ja.com

14.04へのアップグレード後に壊れたSamba / Winbind Active Directory認証

私はUbuntuデスクトップ12.04を使用しており、samba/winbind/krb5を使用してドメインに参加しました。問題なく動作し、Active Directoryアカウントを使用してコンピューターにログオンできました。 14.40にアップグレードしましたが、壊れているようです。 14.04がSamba4にアップグレードされたようで、それが問題かどうかわかりません。 Samba4の変更のように見えるsmb.confファイルにいくつかの変更を加えました-ネット広告join -U usernameを使用してドメインに参加できるようになります...私のコンピューターはドメインに参加しました-そして私はKerberosを使用してチケットを取得し、それが有効であることを確認できます。ただし、ローカルアカウントからログアウトし、ドメインアカウントを使用して再度ログインしようとすると、常に無効なパスワードが通知されます。何か案は? smb.confファイルでtestparmを実行した後、idmap uidとidmap gidはもう使用されていないことがわかりました。また、「password server」と「security = ads」を組み合わせてはならないことも通知されました。それが問題なのか疑問に思っています。

編集:おそらくpam.dファイルと何か関係があります-14.04のクリーンインストールを行っただけでログインできません....パスワードを聞かれることもありません...デフォルトのPAMファイルに戻ります-ここに私が持っているものがあります

/etc/pam.d/common-account:

    account sufficient pam_winbind.so
    account required pam_unix.so

/etc/pam.d/common-auth:

    auth sufficient pam_winbind.so
    auth required pam_unix.so nullok_secure use_first_pass

/etc/pam.d/common-password:

    password required pam_unix.so nullok obscure min=4 max=50 md5

/etc/pam.d/common-session:

    session required pam_mkhomedir.so umask=0022 skel=/etc/skel

ここに私のテスト/etc/samba/smb.confがあります:

    [global]

    workgroup = MYDOMAIN
    security = ADS
    realm = MYDOMAIN.COM
    netbios name = trusty

    idmap config *:backend = tdb
    idmap config *:range = 70001-80000
    idmap config MYDOMAIN:backend = ad
    idmap config MYDOMAIN:schema_mode = rfc2307
    idmap config MYDOMAIN:range = 500-40000

    winbind nss info = rfc2307
    [test]
    path = /srv/samba/test
    read only = no

ここに私の/etc/krb5.confがあります

    [libdefaults]
    default_realm = MYDOMAIN.COM
    ticket_lifetime = 24000
    allow_weak_crypto = yes
    [realms]
    MYDOMAIN.COM = {
            kdc = my.domain.com
            admin_server = my.domain.com
            default_domain = MYDOMAIN.COM
    }


    [domain_realm]
    .mydomain.com = MYDOMAIN.COM
    mydomain.com = MYDOMAIN.COM
    [login]
    krb4_convert = true
    krb4_get_tickets = false

/etc/nsswitch.conf

    passwd:         compat winbind
    group:          compat winbind
    shadow:         compat winbind

    hosts:          files mdns4_minimal [NOTFOUND=return] dns wins
    networks:       files

    protocols:      db files
    services:       db files
    ethers:         db files
    rpc:            db files

    netgroup:       nis

編集:最後に..... pam-auth-updateと入力すると、Active Directoryまたはldap ... iのpamプロファイルを有効にする機能が表示されないことに気づきました。 。?

4
vocoder

する

getent passwd

何か返す?

どう?

wbinfo -u

私は同じことに取り組んでおり、私にとってはwbinfo -uは機能しましたが、getent passwdは機能しませんでした。これらのパッケージを追加することで、getent passwdを機能させることができました。

 apt-get install libnss-winbind libpam-winbind

Getent passwdがドメインユーザーを返すと、ドメインcredでマシンにsshできました。

7
gregorcy

私は同じ問題を抱えていましたが、いくつかのハッキングによって最終的に機能させることができました。

Libnss-winbindを追加した後、getent passwdが機能し、ADユーザーとしてログインしようとするとsetgidエラーが発生しました。

そこで、smb.confファイルでハッキングを始めました。

作業中の12.04LTSサーバーから持っていたsmb.confファイルをコピーし、いくつかの小さな変更を加えたところ、機能しました。

これが私のsmb.confです。

[global]
allow trusted domains = Yes
workgroup = DOMAIN
server string = 'Test Server'
security = ads
realm = DOMAIN.COM
password server = 0.0.0.0
domain master = no
local master = no
preferred master = no
idmap backend = tdb
idmap uid = 10000-99999
idmap gid = 10000-99999
idmap config DOMAIN:backend = rid
idmap config DOMAIN:range = 10000-99999
winbind separator = +
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
winbind nested groups = yes
winbind refresh tickets = yes
template homedir = /home/DOMAIN.COM/%U
template Shell = /bin/bash
client use spnego = yes
client ntlmv2 auth = yes
encrypt passwords = true
restrict anonymous = 2
log file = /var/log/samba/log.%m
max log size = 50
1
user3380328

apt-get install libnss-winbind libpam-winbindも機能しました。

12.04から14.04にアップグレードした後、共有にアクセスしようとするとActive Directoryユーザーはユーザー名とパスワードの入力を求められ、ネットワークドライブはマップされませんでした。上記のコマンドと「service smbd restart」を実行してsambaサービスを再起動すると、すべて完全に機能しました。ユーザーが再起動し、ドライブが通常のようにマップされました。ふう!

0
Adam TheGreat