AD 도메인을 통해 가입하는 SLES 12.1 서버가 여러 대 있습니다 net ads join -u <OU_MANAGER> osName='SLES' osVer='12.1' createcomputer="<OU1>/<OU2>/Servers
. 참고로 저는 OU2에 대한 OU 관리자 계정만 갖고 있고 AD 자체는 관리하지 않습니다. 연결이 성공적으로 완료되었지만 다음 DNS_GSS_ERROR
과 같은 이유로 해결할 수 없는 일반적인 문제 가 있습니다.문제 해결AD 관리자여야 합니다. 그럼에도 불구하고 도메인에 가입하고 도메인 사용자가 YaST를 통해 로그인할 수 있도록 허용하는 옵션을 활성화했을 때(nsswitch.conf, pam 및 sshd 설정을 직접 수행했을 때 어떻게든 작동하지 않았습니다) 다음을 사용하여 로그인할 수 있었습니다. 도메인 사용자 .
문제는 사용자가 분산된 Java 애플리케이션을 실행하고 이에 의존하기 때문에 사용자의 UID/GID를 동기화하고 싶다는 것입니다.
나의 현재 /etc/samba/smb.conf
상황은 다음과 같습니다.
[global]
workgroup = XXXX
realm = XXXX.YYYY.NET
security = ADS
kerberos method = secrets and keytab
template homedir = /home/%D/%U
template shell = /bin/bash
winbind refresh tickets = yes
idmap gid = 19500-19999
idmap uid = 19500-19999
usershare allow guests = No
winbind offline logon = yes
이제 idmap을 다음과 같이 변경하려고 하면
[global]
workgroup = XXXX
realm = XXXX.YYYY.NET
security = ADS
kerberos method = secrets and keytab
template homedir = /home/%D/%U
template shell = /bin/bash
winbind refresh tickets = yes
#idmap gid = 19500-19999
#idmap uid = 19500-19999
idmap config * : backend = tdb
idmap config * : range = 1000-5000
idmap config XXXX : backend = rid
idmap config XXXX : range = 19500-19999
usershare allow guests = No
winbind offline logon = yes
그러면 더 이상 도메인 사용자로 로그인할 수 없습니다 smbcontrol all reload-config
. systemctl restart smb winbind
다음 오류가 발생합니다.
Kinit for <Servername>[email protected] to access cifs/<domain controller>[email protected] failed: Preauthentication failed
그런데 문제가 안 보이도록 net ads kerberos kinit -u <OU Manager>
사용 하면 되는 걸까요 ?kinit -u <OU Manager>
더 많은 아이디어가 있는 사람이 있나요? 아니면 제가 뭔가를 놓치고 있는 걸까요? 이것이 AD 관리자의 잘못인가요, 아니면 제 잘못인가요?