SLES 12.1でUID / GIDを同期し、winbindをADに接続します。

SLES 12.1でUID / GIDを同期し、winbindをADに接続します。

ADドメインを介して参加するSLES 12.1サーバーが複数ありますnet ads join -u <OU_MANAGER> osName='SLES' osVer='12.1' createcomputer="<OU1>/<OU2>/Servers。ちなみに、私はOU2のOU管理者アカウントのみを持っており、AD自体は管理しません。接続は正常に完了しましたが、次DNS_GSS_ERRORの理由で解決できない一般的な問題があります。トラブルシューティングAD管理者である必要があります。それにもかかわらず、ドメインに参加し、ドメインユーザーがYaSTを介してログインできるようにするオプションを有効にしたとき(nsswitch.conf、pam、およびsshd設定を直接実行したときに何らかの動作をしませんでした)、次のようにログインするできました。ドメインユーザー。

問題は、ユーザーが分散Javaアプリケーションを実行して依存しているため、ユーザーのUID / GIDを同期したいということです。

私の現在の/etc/samba/smb.conf状況は次のとおりです。

[global]
    workgroup = XXXX
    realm = XXXX.YYYY.NET

    security = ADS
    kerberos method = secrets and keytab

    template homedir = /home/%D/%U
    template shell = /bin/bash

    winbind refresh tickets = yes
    idmap gid = 19500-19999
    idmap uid = 19500-19999
    usershare allow guests = No
    winbind offline logon = yes

ここでidmapを次のように変更しようとすると

[global]
    workgroup = XXXX
    realm = XXXX.YYYY.NET

    security = ADS
    kerberos method = secrets and keytab

    template homedir = /home/%D/%U
    template shell = /bin/bash

    winbind refresh tickets = yes
    #idmap gid = 19500-19999
    #idmap uid = 19500-19999
    idmap config * : backend = tdb
    idmap config * : range = 1000-5000
    idmap config XXXX : backend = rid
    idmap config XXXX : range = 19500-19999
    usershare allow guests = No
    winbind offline logon = yes

これにより、ドメインユーザーとしてログインできなくなりますsmbcontrol all reload-configsystemctl restart smb winbind次のエラーが発生します。

Kinit for <Servername>[email protected] to access cifs/<domain controller>[email protected] failed: Preauthentication failed

ところで問題が見えないようにnet ads kerberos kinit -u <OU Manager>使用すればいいのでしょうか?kinit -u <OU Manager>

もっとアイデアがある人はいますか?それとも私が何かを見逃しているのでしょうか?これがAD管理者のせいですか、それとも私のせいですか?

関連情報