Есть два домена (Разный лес Active Directory-2019), abc.com (домен по умолчанию) и xyzde5.com (доверенный домен), одностороннее входящее доверие к xyzde5.com и исходящее доверие от abc.com
мы можем войти в систему пользователей домена по умолчанию (abc.com) на сервере SLES 15 SP2 Clint (abc.com). , но невозможно получить доступ к доверенным пользователям домена (xyzde5.com) с того же клиентского сервера SLES. однако мы могли
возможность входа в систему доверенных пользователей в клиентской системе Windows. проблема только в клиентах SLES.
Примечание: Также нам нужно, чтобы UUID и GID пользователя отображались только из активного каталога. (В домене по умолчанию все работает нормально, аналогичное решение ищет доверенных пользователей домена)
Нужно ли нам открывать какой-либо номер порта от члена домена по умолчанию SLES до доверенного домена xyzde5.com?
и какие-либо дополнительные настройки необходимы для работы входа в систему доверенных пользователей? посоветуйте пожалуйста по этому поводу!
Заранее спасибо!
Мы могли найти следующее сообщение об ошибке в winbindd.log
сообщение об ошибке:
Не удалось преобразовать sid S-1-5-21-1090010102-1892896508-1865459154-1106: NT_STATUS_NO_SUCH_USER
указанное выше соответствие SID доверенному пользователю домена.
Пожалуйста, найдите конфигурацию Windind следующим образом:
smb.conf`
[Глобальный]
рабочая группа = абв
область = ABC.COM
usershare разрешить гостям = YES
Конфигурация idmap * : backend = tdb
Конфигурация idmap *: диапазон = 5000000-5999999
idmap config ABC: бэкенд = объявление
Конфигурация idmap ABC: диапазон = 10-9999
Конфигурация idmap ABC: schema_mode = rfc2307
idmap config ABC : unix_nss_info = yes
Конфигурация idmap XYZDE5 : бэкенд = объявление
Конфигурация idmap XYZDE5: диапазон = 10000-19999
Конфигурация idmap XYZDE5 : schema_mode = rfc2307
Конфигурация idmap XYZDE5 : unix_nss_info = да
метод kerberos = секреты и keytab
безопасность = реклама
домашний каталог шаблона = /home/%U
оболочка шаблона = /bin/bash
автономный вход в систему winbind = да
файл журнала = /var/log/samba/%m.log
уровень журнала = 5
объекты vfs = acl_xattr
карта acl наследовать = да
хранить атрибуты dos = да
winbind использовать домен по умолчанию = yes
группы enum winbind = да
вложенные группы winbind = нет
winbind расширить группы = 2
winbind перечисление пользователей = да
билеты обновления winbind = да
разделитель winbind = +
клиент использует spnego = да
krb5.conf
включен в /etc/krb5.conf.d
[libdefaults]
default_realm = abc.com
часовой перекос = 300
[сферы]
abc.com = {
kdc = adserver001.abc.com
default_domain = abc.com
admin_server = рекламный_сервер001.abc.com
}
xyzde5.com = {
kdc = trustad001.xyzde5.com
admin_server = trustad001.xyzde5.com
}
[область_домена]
abc.com = abc.com
.abc.com = abc.com
xyzde5.com = xyzde5.com
.xyzde5.com = xyzde5.com
[приложения по умолчанию]
пэм = {
ticket_lifetime = 1 дн.
renew_lifetime = 1д
пересылаемый = правда
прокси = ложь
минимальный_uid = 1
}