ADドメインを介して参加するSLES 12.1サーバーが複数ありますnet ads join -u <OU_MANAGER> osName='SLES' osVer='12.1' createcomputer="<OU1>/<OU2>/Servers
。ちなみに、私はOU2のOU管理者アカウントのみを持っており、AD自体は管理しません。接続は正常に完了しましたが、次DNS_GSS_ERROR
の理由で解決できない一般的な問題があります。トラブルシューティングAD管理者である必要があります。それにもかかわらず、ドメインに参加し、ドメインユーザーがYaSTを介してログインできるようにするオプションを有効にしたとき(nsswitch.conf、pam、およびsshd設定を直接実行したときに何らかの動作をしませんでした)、次のようにログインするできました。ドメインユーザー。
問題は、ユーザーが分散Javaアプリケーションを実行して依存しているため、ユーザーのUID / GIDを同期したいということです。
私の現在の/etc/samba/smb.conf
状況は次のとおりです。
[global]
workgroup = XXXX
realm = XXXX.YYYY.NET
security = ADS
kerberos method = secrets and keytab
template homedir = /home/%D/%U
template shell = /bin/bash
winbind refresh tickets = yes
idmap gid = 19500-19999
idmap uid = 19500-19999
usershare allow guests = No
winbind offline logon = yes
ここでidmapを次のように変更しようとすると
[global]
workgroup = XXXX
realm = XXXX.YYYY.NET
security = ADS
kerberos method = secrets and keytab
template homedir = /home/%D/%U
template shell = /bin/bash
winbind refresh tickets = yes
#idmap gid = 19500-19999
#idmap uid = 19500-19999
idmap config * : backend = tdb
idmap config * : range = 1000-5000
idmap config XXXX : backend = rid
idmap config XXXX : range = 19500-19999
usershare allow guests = No
winbind offline logon = yes
これにより、ドメインユーザーとしてログインできなくなりますsmbcontrol all reload-config
。systemctl restart smb winbind
次のエラーが発生します。
Kinit for <Servername>[email protected] to access cifs/<domain controller>[email protected] failed: Preauthentication failed
ところで問題が見えないようにnet ads kerberos kinit -u <OU Manager>
使用すればいいのでしょうか?kinit -u <OU Manager>
もっとアイデアがある人はいますか?それとも私が何かを見逃しているのでしょうか?これがAD管理者のせいですか、それとも私のせいですか?