Los cambios en la pertenencia a grupos de AD no se reflejan en la información de winbind

He henetworkingado varios serveres RHEL5 que fueron configurados para autenticar usuarios en sus counts de AD a través de winbind. Todo funciona bien hasta que actualice la pertenencia al grupo en AD. Para algunos usuarios, los cambios nunca lo hacen a la salida del command "groups", aunque se reflejan en la salida de "getent group <groupname>".

Por ejemplo, considere lo siguiente:

[root @ hcc1pl1 ~] # grupos plubans
plubans: desarrollo de infraestructura de sistemas de usuarios de dominio
[root @ hcc1pl1 ~] # grupo getent q1esb
q1esb: *: 23136: q1qai, q1prodi

Si me agrego a q1esb en el DC que winbind está usando, puede ver que la membresía se actualiza:

[root @ hcc1pl1 ~] # lsof -i | grep winbind
winbindd 31339 raíz 17u IPv4 63817934 TCP hcc1pl1: 56541-> hcnas01: microsoft-ds (ESTABLISHED)
winbindd 31339 raíz 21u IPv4 63817970 TCP hcc1pl1: 53622-> hcnas01: ldap (ESTABLISHED)
U = Cuentas de usuario estándar, UO = Usuarios, UO = XXX, U = Cuentas de usuario estándar, U = Usuarios, U = XXX, DC = XXX, DC = XXX "" (sAMAccountName = *) "memberOf
Introduzca la contraseña LDAP:

memberOf: CN = q1esb, OU = Grupos de security, OU = Grupos, OU = XXX, DC = XXX, DC = XXX

Tenga en count que winbind se está ejecutando sin almacenamiento en caching (-n flag):

[root @ hcc1pl1 ~] # ps -ef | grep winbind
root 31339 1 0 13:50? 00:00:00 winbindd -n
raíz 31340 31339 0 13:50? 00:00:00 winbindd -n
root 31351 31339 0 13:50? 00:00:00 winbindd -n
root 31352 31339 0 13:50? 00:00:00 winbindd -n
root 31353 31339 0 13:50? 00:00:00 winbindd -n

Ahora getent demuestra que ese grupo tiene los miembros correctos:

[root @ hcc1pl1 ~] # grupo getent q1esb
q1esb: *: 23136: q1qai, plubans, q1prodi

Pero la membresía actualizada no se refleja en los detalles de mi count:

[root @ hcc1pl1 ~] # grupos plubans
plubans: desarrollo de infraestructura de sistemas de usuarios de dominio
[root @ hcc1pl1 ~] #

La parte verdaderamente irritante de este problema es que funciona bien para otras counts de esta máquina y para mi count en máquinas que he configurado desde cero.

¿Algunas ideas?

4 Solutions collect form web for “Los cambios en la pertenencia a grupos de AD no se reflejan en la información de winbind”

Parece que esto fue causado por la información de grupo que se almacenó en caching en el inicio de session en /var/cache/samba/netsamlogon_cache.tdb. Supongo que aunque '-n' instruyó a winbind que no almacenara en caching sus consultas en LDAP, la presencia de la información de membresía en ese file TDB fue suficiente para estropear las cosas.

Mi único pensamiento y es muy vago es que podría tener algo que ver con la comunicación con su Maestro de Infraestructura (que es responsable de la actualización de membresías de grupo a través de los dominios).

He tenido una experiencia similar con los packages de samba / winbind de RHEL. Ha sido mi experiencia que el winbind de RHEL es un poco incompleto. Lo que observé fue que una vez que un usuario autenticado, su membresía de grupo sería actualizada con precisión, pero aparte de eso, no se presentaría ningún cambio en la pertenencia a un grupo. Esto no es una solución óptima, sobre todo si se elimina a un usuario de un grupo que les concedería acceso a la máquina, ya que efectivamente les da una última input que no deberían recibir. Esto puede o no reflejar su situación exactamente, porque también sufrí de no ver a los miembros del grupo de un grupo de AD al ejecutar el getent group (que sólo se vería como un grupo sin miembros, incluso si el groups username mostró como un miembro del grupo), pero parece que está trabajando para usted.

Lo que me resolvió el problema fue instalar la distribución "probada" de RPM de enterprise.org . Los cambios de pertenencia a grupos aparecieron de inmediato, independientemente de la configuration de la caching de winbind. No es necesario ningún cambio de configuration, PERO si está asignando usuarios de AD y grupos con una tabla local de idmap, la installation del nuevo RPMS será más que probable que reasigne completamente su grupo numérico y los identificadores de usuario , así que prepárese para eso ( getent group su getent group y g etent passwd a un file antes de actualizar para que tenga una reference para arreglar la propiedad del file con.

Yo tenía algo similar. Para corregir el problema corrí "authconfig –disablecache –update". Por supuesto, hacía los inicios de session lento.

  • ¿Para los clientes del * nix server / Windows, cuáles son los pros y los contras de NFS moderno. Samba / SMB?
  • CIFS montado unidad de ajuste "stick-bit" en todos los files, no se puede cambiar los permissions o modificar files
  • El acceso de Samba funciona sólo con la dirección IP
  • Solaris 10: winbind no puede conectarse a Active Directory
  • Protocolo para montar el sistema de files de networking fat32 en Linux con capacidad de bloquear files (no cerraduras de asesoramiento)
  • Permisos de escritura pero sin borrar en SAMBA
  • deshabilitar la function .recycle para compartir samba
  • Despertar automático en LAN en Linux al acceder al sistema de files remoto
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.