使用autorid跨Linux客户端为多个域提供一致的UID和GID

Question

这是我当前的设置:我有两个Active Directory服务器(AD1 = TEST1) (AD2 = TEST2).AD2是一个受信任域。而samba版本是3.6.9-168.el6_5。我已经使用下面的smb.conf文件成功地将我的linux客户机(Red Hat Enterprise Linux Server release 6.5)集成到AD1服务器上。我需要域用户TEST1和TEST2的一致的UID和GID。wibinfo -u和-g对我来说都很好，下面的配置对这两个域都适用。我能够获得TEST1域的一致的UID和GID。但是对于TEST2 (受信任域)，wbinfo -i显示以下错误

# wbinfo -i TEST2\\user1
failed to call wbcGetpwnam: WBC_ERR_DOMAIN_NOT_FOUND
Could not get info for user user1

我当前的smb.conf文件如下所示

[global]
        workgroup = TEST1
        realm = TEST1.LOCAL
        netbios name = LB001
        security = ads
        winbind offline logon = yes
        allow trusted domains = yes
        winbind enum users = yes
        winbind enum groups = yes
        winbind use default domain = yes
        winbind use default domain = yes
        template home dir = /home/%U

        idmap config * : backend = autorid
        idmap config * : range = 1000000-1999999

        template shell = /bin/bash

需要帮助才能使用此autorid选项获取域的一致UID和GID。

提前谢谢你，

Answer 1

首先，wbinfo -i是一个测试nsswitch集成的高级工具。在这里，不仅仅是Id映射会出错。错误消息DOMAIN_NOT_FOUND也具有误导性( wbinfo代码中的错误)。

id映射的原子测试将如下所示：

wbinfo -n TEST2\\user1

为您提供用户的SID (windows用户ID)，然后使用

wbinfo -S SID

使用此sid检查UID分配。类似地，使用

wbinfo -Y SID

如果您正在测试组对象。

也就是说，你不能保证使用idmap autorid获得完全相同的配置，因为它会按照域名访问服务器的顺序将定义的总体范围的递增子范围与域关联起来。因此，如果您希望100%确定拥有完全相同的if，那么您应该考虑使用显式配置，使用rid后端，如下所示：

[global]
idmap config * : backend = tdb
idmap config * : range = 1000000-1999999
idmap config TEST1 : backend = rid
idmap config TEST1 : range = 2000000-2999999
idmap config TEST2 : backend = rid
idmap config TEST2 : range = 3000000-3999999