Если необходимо использовать пользователей из обоих доменов (установлены двухсторонние доверительные отношения с типом связи
Лес
), то рабочую станцию с ОС Альт следует вводить в домен через winbind (см.
Подключение к AD с помощью Samba Winbind).
5.5.1. Настройка winbind
На машине, введённой в домен, необходимо в файле
smb.conf
установить ID-маппинг для обоих доменов (backend = rid/tdb ??). Пример файла
smb.conf
на машине введённой в домен example.alt:
[global]
security = ads
realm = EXAMPLE.ALT
workgroup = EXAMPLE
netbios name = WORK1
template shell = /bin/bash
kerberos method = system keytab
wins support = no
winbind use default domain = yes
winbind enum users = no
winbind enum groups = no
template homedir = /home/EXAMPLE.ALT/%U
winbind refresh tickets = yes
winbind offline logon = yes
idmap config * : range = 10000-20000000
idmap config * : backend = tdb
idmap config EXAMPLE : backend = rid
idmap config EXAMPLE : range = 10000-20000000
idmap config TEST : backend = rid
idmap config TEST : range = 10000-20000000
После перезапуска
smbd
,
nmbd
,
winbind
можно проверить, есть ли возможность просматривать пользователей из обоих доменов:
# net rpc trustdom list -Uadministrator
Password for [EXAMPLE\administrator]:
Trusted domains list:
TEST S-1-5-21-1455776928-3410124986-2843404052
Trusting domains list:
TEST S-1-5-21-1455776928-3410124986-2843404052
# wbinfo -n TEST\\ivanov
S-1-5-21-1455776928-3410124986-2843404052-1105 SID_USER (1)
# wbinfo -n EXAMPLE\\kim
S-1-5-21-3274802069-598906262-3677769431-1104 SID_USER (1)
Проверка с помощью
getent
:
# getent group TEST\\office
TEST\office:*:11107:
# getent group EXAMPLE\\office2
office2:*:11107:
# getent passwd TEST\\ivanov
TEST\ivanov:*:11105:10513::/home/EXAMPLE.ALT/ivanov:/bin/bash
# getent passwd EXAMPLE\\kim
kim:*:10000:10001:Олег Ким:/home/EXAMPLE.ALT/kim:/bin/bash
Проверка входа по SSH пользователями из обоих доменов:
$ ssh TEST\\ivanov@192.168.0.126
TEST\ivanov@192.168.0.126's password:
[TEST\ivanov@work1 ~]$ exit
выход
Connection to 192.168.0.126 closed.
$ ssh EXAMPLE\\kim@192.168.0.126
EXAMPLE\kim@192.168.0.126's password:
[kim@work1 ~]$ exit
выход
Connection to 192.168.0.126 closed.