管理双Samba / Winbind到AD的UID/GID

Question

我使用Samba/Winbind将两个Linux服务器连接到2008服务器，下面是我的samba配置

    workgroup = COMPANY
    realm = COMPANY.COM
    server string = SAMBA-AD Server
    security = ADS
    password server = 10.1.x.x
    log level = 2
    log file = /var/log/samba/log.%m
    max log size = 50
    unix extensions = No
    idmap uid = 10000-20000
    idmap gid = 10000-20000
    template homedir = /home/%u
    template shell = /bin/bash
    winbind separator = +
    winbind enum users = Yes
    winbind enum groups = Yes
    winbind use default domain = Yes
    winbind nss info = rfc2307

然而，当我运行getent group时，两者的配置是完全相同的，但是列出的GID对于两者来说都是不同的，尽管范围完全相同，从10000到20000。

在Linux服务器A上：

domain computers:*:10011:

在Linux服务器B上：

domain computers:*:10008:

似乎不是从10000开始的。

如何在两个Linux服务器上精确地同步GIDs？任何帮助都非常感谢！

编辑：@larsks，我尝试添加idmap_rid，这是最新的配置：

    workgroup = COMPANY
    realm = COMPANY.COM
    server string = SAMBA-AD Server
    security = ADS
    password server = 10.1.xx.xx
    log file = /var/log/samba/log.%m
    max log size = 50
    unix extensions = No
    idmap config COMPANY:backend = rid
    idmap config COMPANY:base_rid = 1000
    idmap config COMPANY:range = 10000 - 20000
    template homedir = /home/%u
    template shell = /bin/bash
    winbind separator = +
    winbind enum users = Yes
    winbind enum groups = Yes
    winbind use default domain = Yes
    winbind nss info = rfc2307
    hosts allow = 127., 192.168.12., 192.168.13., 10.1.11., 10.2.,
    wide links = Yes

我删除了idmap gid = 10000-20000。

我需要删除winbind enum groups = Yes吗？

但是，即使在重新启动winbind / samba之后，在idmap_rid添加之后，GID仍然保持不变。

Answer 1

您可以使用idmap_洗净 idmap后端，该后端算法地生成GID，这样就不需要同步它们(也就是说，两个系统总是为给定的组生成相同的GID)。

还可以使用LDAP idmap后端将生成的in存储在中心(共享)位置。只有在不使用idmap_rid后端的情况下，这才是必要的。