Samba AD组在Unix上显示为空。

Question

环境：

• 新Debian 10 Samba 4.9.5-Debian作为AD-DC，使用内部LDAP、内部DNS、RFC2307启用、libnss-winbind启用和配置、libpam-winbind启用和配置
• 新Debian 10 Samba 4.9.5-Debian作为文件服务器，加入AD域，启用RFC2307，启用和配置libnss-winbind，启用和配置libpam-winbind
• Windows 7和Windows 10客户端
• 各种Linux服务器将加入AD域。
• Microsoft RSAT工具安装在Windows 7 for Management上

广告用户和AD组只是在Windows上工作，都分配了NIS用户/组ID.

文件服务器上的getent passwd显示了所有AD用户.文件服务器上的getent group显示所有AD组，但在Linux上所有AD组显示为空。Windows RSAT工具按预期显示组成员。

输出为somegroup:x:23456:。

预期输出为somegroup:x:23456:joe.user,tim.trouble,n.o.clue。

我似乎遗漏了一些需要配置的细节。

Answer 1

解决方案是smb.conf中缺少的参数，如具有winbind的Linux嵌套组所示

winbind expand groups默认为0，从Samba4.2开始，必须为非零才能在getent group中列出用户成员。

我在文件服务器上设置了winbind expand groups = 10 in smb.conf，这适用于我们的小Samba。

Answer 2

看看winbind用户 + winbind群。它们默认为no in smb.conf。

引用winbind enum users：

如果winbind用户参数为no，则对getp转入系统调用的调用将不返回任何数据。

和winbind enum groups：

如果winbind枚举组参数为no，则对getgrent()系统调用的调用将不会返回任何数据。

也就是说，您不应该需要启用这些设置。用户和组可以通过wbinfo -u和wbinfo -g进行枚举。