iegan1011
@iegan1011
Яж тебя пыдману

Samba c интеграцией в AD, как настроить чтобы различала домены?

Платформа Debian 9.5 Stretch, Samba 4.5.12.
Пытаюсь настроить интеграцию samba в поддомен на win 2008r2. Связка из двух доменов вида SUBDOMIAN.DOMIAN.ORG и DOMIAN.ORG с обоими самба должна работать. И все так то работает, но не могу настроить ид-маппинг - самба не хочет понимать к какому домену принадлежит пользователь. Правила idmap SUBDDOMIAN, idmap DOMIAN игнорируются для них обоих применяется общее правило idmap *. Авторизация идет, пользователей получаю командой getent, группы вижу, но мапинг не работает по доменному имени. Примется только общее правило. Вероятно какую то мелочь не настроил, но я уже не знаю где искать. Прошу помочь разобраться.
Нужен маппинг rid, у обоих доменов окончания-SID начинаются с 1000.
smb.conf
[global]
netbios name = FILESERVER
security = ADS
workgroup = SUBDOMIAN
realm = SUBDOMIAN.DOMIAN.ORG

log level = 3
log file = /var/log/samba/log.%m
socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192
encrypt passwords = yes

auth methods = winbind
name resolve order = hosts bcast lmhosts
case sensitive = no
dns proxy = yes
server string = %v samba

client signing = auto
local master = no
domain master = no
preferred master = no
debug level = 2
load printers = no
hosts allow = 192.168.1. 192.168.2. 192.168.3.

oplocks = yes
kernel oplocks = yes
level2 oplocks = yes
veto oplock files = /*.data/*.DATA/*.mdb/*.MDB/*.ldb/*.LDB/*.accdb/*.cdx/*.CDX/*.dbf/*.DBF

inherit acls = yes
inherit owner = yes
inherit permissions = yes

dos charset = cp866
unix charset = utf-8
max log size = 512
os level = 0

map to guest = Bad User


idmap config SUBDOMIAN : range = 10000-13000
idmap config SUBDOMIAN : backend = rid
idmap config SUBDOMIAN : default = yes

idmap config DOMIAN : range = 20000-23000
idmap config DOMIAN : backend = rid

idmap config BUILTIN : range = 30000-33000
idmap config BUILTIN : backend = rid

idmap config NT AUTHORITY : range = 40000-43000
idmap config NT AUTHORITY : backend = rid

idmap config * : range = 500000-550000
idmap config * : backend = rid

#winbind separator = \
winbind trusted domains only = no
#winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
winbind normalize names = yes
  • Вопрос задан
  • 112 просмотров
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы