active-directory – 组合NFS,Samba服务器来自Active Directory的用户

前端之家收集整理的这篇文章主要介绍了active-directory – 组合NFS,Samba服务器来自Active Directory的用户前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我想构建一个通过SMB / CIFS和NFS导出用户主目录的服务器.此服务器将加入保存用户数据库的Win2k3 AD域控制器.据我了解,winbind将为这些用户动态创建UID.此用户名-UID映射需要可用于挂载主目录的NFS客户端,否则将无法正确显示文件所有权.

我认为这可以使用SFU实现,但据我所知,SFU已经停止使用,并且在最新版本的Windows不支持,所以我不想使用它.

如何最好地为NFS客户端提供此映射?

(你会认为这是一个常见的用例,但我找不到相关的howto.我的Google-fu可能很弱.)

编辑:顺便说一句,在这种情况下,用户是否可以通过NFS连接,而无需先通过SMB / CIFS连接?

解决方法

(编辑2017-07-05)我一般建议现在使用sssd.将以下原始答案留作历史参考.我目前关于Ubuntu的笔记是:
apt-get install openssh-server sssd-ad realmd packagekit
realm -v join example.com --computer-ou="OU=someOU,DC=example,DC=com" --user=someuser

>在/etc/sssd/sssd.conf,[ssssd]部分,添加default_domain_suffix = example.com和full_name_format =%1 $s.在[domain / example.com]部分中,编辑fallback_homedir = / home /%d /%u并添加ignore_group_members = True.对于较大的域,请添加enumerate = false以防止sssd遍历AD遍历以查找组成员身份(并将非缓存登录延迟一两分钟).
>在/etc/pam.d/common-session结束时附加会话需要pam_mkhomedir.so skel = / etc / skel / umask = 0076. (或者你想要使用的任何umask).
>使用service sssd restart重新启动sssd服务.
>尝试登录第二个文本或GUI控制台,或使用ssh localhost登录.

默认情况下,winbind会在较旧版本的Samba上组成UID,或者必须引用LDAP存储以保持一致.现在情况已经有一段时间了(2004年11月,如果我的信息是正确的) – idmap_rid是一个后端,可以从Active Directory RID(相对识别器,用户的SID的一部分)生成UID.

I wrote up my configuration for tying Debian systems into an existing AD here – 它使用Puppet,但如果你只是通过它阅读Samba和PAM配置的起点,它应该适用于任何类似的UNIX系统.

请注意,我没有使用SFU,也没有以任何方式修改AD架构.我想要的只是为用户提供一致的UID.

猜你在找的Linux相关文章