NFS для пользователя AD

[Anton Kochnev]

Приветствую.
Новая проблема, идеи кончились :)
Запускаю wine, он ругается, что не может создать .wine потому как
владелец папки не я. На linux-клиенте авторизованный AD-пользователь с
примонтированным каталогом /home/user.
nfs-сервер и linux-клиент в AD. создавать и удалять пользователь папки
может. чего wine'у не понравилось не понимаю. И вот ещё один нюанс:
если посмотреть владельца папок в домашнем каталоге на nfs-сервере
(зайдя по ssh тем же доменным пользователем), то имя пользователя
отображается правильно, а вот если это сделать авторизовавшись на
linux-клиенте, то вместо имени пользователя и группы будут группы
цифр, то есть кто-то должен их в имена преобразовывать, но кто.... ?

[Aleksey Berezin]

http://wiki.samba.org/index.php/Samba_&_Active_Directory#Advanced_Configuration

- читал?

22 мая 2012 г., 12:43 пользователь Anton Kochnev
<anton....@gmail.com> написал:

[Anton Kochnev]

Именно это -- нет. Там ни слова про nfs...

2012/5/22 Aleksey Berezin <phila...@gmail.com>:
> http://wiki.samba.org/index.php/Samba_&_Active_Directory#Advanced_Configuration
>
> - читал?

[atsh...@gmail.com]

Гм, гм. А кто сказал, что маппинг доменных имен в локальные идентичен на сервере и на клиенте? А никто не говорил.
Собственно, все должно лежать в tdb-файлах (winbind_idmap.tdb если я ничего не путаю), можно их просто скопировать с одной машинки на другую
Альтернативный вариант - править эту tdb'шку wbuser'ом.
Если лениво-геморройно - наплевать на самбу, и настроить pam_ldap.
Расширить схему AD (для 2003, для 2008 уже не надо), прописать всем пользователям unix uid/gid, поставить nss_ldap и pam_ldap, пошаманить чутка с
конфигами - и system-wide схема аутентификации готова.

[Anton Kochnev]

2012/5/23 <atsh...@gmail.com>:

> Гм, гм. А кто сказал, что маппинг доменных имен в локальные идентичен на
> сервере и на клиенте? А никто не говорил.

на самом деле есть механизм, который как бы должен в пределах одного
домена (мой случай) одинаково отображать SID-ы в posixUID через RID.
http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/idmapper.html#id2606596
Правда, я целый день убил чтобы его настроить (?). Во всём виноват кеш :)
И одна таки странность осталась: у учётной записи
enterprise-administrator на сервере ubuntu 12.04 id получается 10000,
а на arch -- 1500, хотя id группы отображается одинаково. У остальных
пользователей проблемы такой нет.

> Собственно, все должно лежать в tdb-файлах (winbind_idmap.tdb если я ничего
> не путаю), можно их просто скопировать с одной машинки на другую

Не путаешь, там всё и кешируется. Так же есть вариант положить этот файл в ldap.

> Если лениво-геморройно - наплевать на самбу, и настроить pam_ldap.
> Расширить схему AD (для 2003, для 2008 уже не надо), прописать всем
> пользователям unix uid/gid, поставить nss_ldap и pam_ldap, пошаманить чутка
> с конфигами - и system-wide схема аутентификации готова.

Интересный вариант. Я так понимаю, это работает если режим работы
домена не ниже windows server 2008? То есть винда генерирует SID, а
posixUID и posixGID ручками задать?

У меня в связке win2k8+win2k3, Последняя -- пиратка. Планирую от неё
избавиться. Но как-то надо подумать о надёжности. Планировал загнать
win2k8 в hyper-v. Думал о samba4 в качестве bdc, но как-то не уверен
сможет ли она работать в режиме win2k8 и будет ли между серверами
доверие...

[Anton Kochnev]

Я разобрался.
Во-первых, для очистки кеша winbind недостаточно удалить только один
файл. Вообще, надо вычислять какие именно файлы надо удалять, а какие
лучше не трогать, чтобы опять машину в домен не вводить. Помогла
перезагрузка и теперь у всех пользователей на всех машинах одинаковые
ID.
По второй проблеме -- я упустил момент, что на клиенте также надо
запускать nfs-common, который, в свою очередь (настраивается) и
запускает idmapd. Теперь всё отображается корректно и работает :)