Windows Active Directory域中的Linux计算机(Debian),AD的管理员
我设法加入我的Debian机器(Squeeze)到现有的Active Directory(MS
Windows 2008 R2 Server).一切正常,我可以使用Active Directory中的帐户登录(NTP,Kerberos,PAM,Samba和Winbind都已配置好,并且看起来状态良好).
题: > Domain-Admins(RID 512) – >根(gid 我想实现两个目标: >任何用户创建的目录和文件(包括自动创建的主文件夹)都应该具有gid = 100 目前gid = 10000,winbind采取的自动gid,被采取) 目前,Domain-Admins组的成员既不是gid = 0的成员也不是轮组(它在我的Debian安装中不存在,但这是另一个问题). 为了实现这些目标,我尝试设置以下映射 > net groupmap add ntgroup =“Dom?nen-Admins”unixgroup = root rid = 512 type = domain 这种方法不成功,既没有提供SID而不是RID确实有帮助.对于每种方法,我确保winbind缓存为空(网络缓存刷新),并重新启动samba和winbind服务. 有什么建议? 此致,Wolfram 此外,用户syneticon-dj请求的一些信息: SID被骗了 root@S15:~# net getdomainsid SID for local machine S15 is: S-1-5-21-aaaaaaaaaa-bbbbbbbbbb-ccccccccc SID for domain ITSL is: S-1-5-21-dddddddddd-eeeeeeeeee-ffffffffff root@S15:~# net groupmap add ntgroup="Dom?nen-Admins" unixgroup=root rid=512 type=domain Successfully added group Dom?nen-Admins to the mapping db as a domain group root@S15:~# net groupmap add ntgroup="Dom?nen-Benutzer" unixgroup=users rid=513 type=domain Successfully added group Dom?nen-Benutzer to the mapping db as a domain group root@S15:~# net groupmap list Dom?nen-Admins (S-1-5-21-aaaaaaaaaa-bbbbbbbbbb-ccccccccc-512) -> root Dom?nen-Benutzer (S-1-5-21-aaaaaaaaaa-bbbbbbbbbb-ccccccccc-513) -> users 对我来说,似乎映射了错误的组帐户.我的意思是映射的SID对应于本地机器SID而不是域SID.无论如何,它不起作用,即目标#1没有实现. 我没有找到任何强制选择域SID的选项.因此,我清除了组映射并直接添加了组SID的映射,如下所示: root@S15:~# net groupmap add ntgroup="Dom?nen-Benutzer" unixgroup=users sid="S-1-5-21-dddddddddd-eeeeeeeeee-ffffffffff-513" type=domain Successfully added group Dom?nen-Benutzer to the mapping db as a domain group root@S15:~# net groupmap list Dom?nen-Benutzer (S-1-5-21-dddddddddd-eeeeeeeeee-ffffffffff-513) -> users 这种方法也不起作用,即没有达到目标#1. 根据要求,以下是smb.conf的摘录: [global] workgroup = ITSL realm = itsl.local security = ADS # This machine is a member server,hence no authentication and we leave the following line commented ; domain logons = yes idmap uid = 10000-20000 idmap gid = 10000-20000 template shell = /bin/bash ; winbind enum groups = yes ; winbind enum users = yes winbind use default domain = yes 根据要求,以下是PAM配置的摘录: Debian Squeeze默认,我没有改变. root@S15:/etc/pam.d# grep 'winbind' * common-account:account [success=1 new_authtok_reqd=done default=ignore] pam_winbind.so common-auth:auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass common-password:password [success=1 default=ignore] pam_winbind.so use_authtok try_first_pass common-session:session optional pam_winbind.so common-session-noninteractive:session optional pam_winbind.so 此致,Wolfram
你不应该试图将uid映射到root,也不应该用这种方式映射gid.
如果要在系统上授予管理员root权限,则可以使用sudo.您可以使用Windows组授予sudo权限(Domain-Admins). (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- .net – 如何使用命令行实用程序编辑exe的资源(文件描述,图
- windows-server-2003 – 我在Windows Server 2003上拥有管理
- 如何在Windows上使用Java在默认图像查看器中打开图像?
- windows-phone-7 – 防止Windows Phone中的Pivot导航
- Windows Phone 8.1 – Windows Phone 8.1 vs Windows Phone
- Windows下Redis的安装与使用
- mschart – Microsoft图表控件图例项目排序
- .net – 如何从Windows服务调用Webservice?
- windows-server-2008-r2 – 将Ctrl-Alt-Del发送到嵌套的RDP
- windows-7 – 连接到Windows 7中的串行端口/ COM1