AD 组成员身份更改未反映在 winbind 信息中

我已经获得了许多 RHEL5 网络服务器,这些服务器被设置为通过 winbind 确认个人反对他们的广告帐户。 在我更新广告中的团队订阅之前,每件小事都可以正常工作。 对于某些客户,这些更改永远不会影响“groups”命令的结果,尽管它们显示在“getent team”的输出中 ”。

例如,考虑以下问题:

[root @hcc1pl1 ~ ] # groups plubans¢ plubans: 域客户系统基础设施开发¢ [root @hcc1pl1 ~ ] # getent group q1esb¢ q1esb: *:23136: q1qai, q1prodi

如果我将自己添加到 winbind 正在使用的 DC 上的 q1esb,您可以看到订阅已更新:

[root @hcc1pl1 ~ ] # lsof - i|grep winbind
winbindd 31339root 17u IPv4 63817934TCP hcc1pl1:56541 - >hcnas01: microsoft - ds (ESTABLISHED) ¢ winbindd 31339root 21u IPv4 63817970TCP hcc1pl1:53622 - >hcnas01: ldap (ESTABLISHED) L ¢ [originsearch] - cc1pld ~ x -h hcnas01 -D "plubans @XXX.XXX" -W -b "CN = Peter Lubans,OU = 标准用户帐户,OU = 用户,OU = XXX,DC = XXX,DC = XXX"" (sAMAccountName = *) " memberOf¢ 输入 LDAP 密码:¢ ..¢ memberOf:CN = q1esb,OU = 安全组,OU = 组,OU = XXX,DC = XXX,DC = XXX¢ ..

请记住,winbind 在没有缓存的情况下运行(-n 标志):

[起源@hcc1pl1 ~ ] # ps - ef|grep winbind¢ 起源 31339 1 0 13:50? 00:00:00 winbindd - n¢ 原点 31340 31339 0 13:50? 00:00:00 winbindd - n¢ 根 31351 31339 0 13:50? 00:00:00 winbindd - n¢ 原点 31352 31339 0 13:50? 00:00:00 winbindd - n¢ 根 31353 31339 0 13:50? 00:00:00 winbindd - n

现在 getent 显示该团队有正确的参与者:

[root @hcc1pl1 ~ ] # getent 组 q1esb¢ q1esb: *:23136: q1qai, plubans, q1prodi

但是升级后的会员资格并没有反映在我的账户信息中:

[root @hcc1pl1 ~ ] # 组 plubans¢ plubans:域客户系统设施开发¢ [root @hcc1pl1 ~ ] #

这个问题真正令人烦恼的部分是它在这个制造商上的各种其他帐户以及我从头开始设置的设备上的帐户都可以正常工作。

有什么概念吗?

6
2022-06-07 15:16:32
资源 分享
答案: 3

我对 RHEL 也有过类似的体验,即 stock samba/winbind bundles。 根据我的经验,RHEL 是 winbind 有点可疑。 我观察到的是,一旦客户验证,他们的群组成员资格就会正确更新,但除此之外,团队订阅的任何调整都不会出现。 这不是最佳服务,特别是如果您从团队中删除客户,该团队将授予他们对设备的访问权限,因为它成功地提供了他们不应该获得的最后一次登录。 不过,这可能会或可能不会准确显示您的情况,因为我同样在运行 getent group 时无法看到广告团队的组成员(它肯定看起来就像一个没有成员的团队,即使 groups username 显示他们是团队),但它似乎对你有用。

对我来说解决这个问题的是从 企业MBA.org 设置“经过测试”的 RPM 分发。 无论 winbind 缓存设置如何,团队订阅更改都会迅速出现。 无需更改配置,但如果您使用本地 idmap 表映射广告个人和组,安装新的 RPMS 肯定会更大完全重新映射您的数字组和客户 ID ,因此请为此做好准备(在升级之前将您的 getent group 和 getent passwd 结果转储到数据中,以便您有处理文件所有权的参考。

0
2022-06-28 20:32:57
资源

我唯一的想法也是一个非常不清楚的想法是,它可能与与您的基础架构大师(负责升级整个域的团队成员资格)的通信有关。

1
2022-06-07 16:00:54
资源

这似乎是由登录时缓存的组信息引起的 - 时间在/var/cache/samba/netsamlogon_cache。 数据库。 我认为尽管'-n' 建议 winbind 不缓存它是查询与 LDAP,但该 TDB 文件中订阅详细信息的可见性足以将事情搞砸。

4
2022-06-07 15:56:08
资源