[samba] Triuble with mapping users accounts from trusted AD domains

Пт Фев 24 03:38:21 MSK 2006

		Hi there All!

Имеем:

1. Лес доменов под управлением Win2k. Корневой домен - FOREST.
Интересующие меня домены - DOMAIN1.FOREST, DOMAIN2.FOREST, DOMAIN3.FOREST.

2. Самба-сервер 3.0.21b собранный с winbind'ом, от которого требуется
аутентификация и авторизация пользователей различных сервисов согласно
их учетным записям на соответсвующих домен контроллерах в
соответствующих доменах.

/usr/local/etc/sbm.conf:

[global]
workgroup = DOMAIN1
realm = DOMAIN1.FOREST
netbios name = TEST
winbind separator = \
idmap uid = 10000-30000
idmap gid = 10000-30000
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = no
allow trusted domains = yes
security = ADS
password server = *

/etc/krb5.conf:

[libdefaults]
         default_realm = DOMAIN1.FOREST

[realms]
         FOREST = {
                 kdc = dc.forest
         }
         DOMAIN1.FOREST = {
                 kdc = d1dc.domain1.forest
         }
         DOMAIN2.FOREST = {
                 kdc = d2dc.domain2.forest
         }
         DOMAIN3.FOREST = {
                 kdc = d3dc.domain3.forest
         }

[domain_realms]
         forest = FOREST
         domain1.forest = DOMAIN1.FOREST
	domain2.forest = DOMAIN2.FOREST
	domain3.forest = DOMAIN3.FOREST

/etc/nsswitch.conf:

group: files winbind
hosts: files dns winbind
networks: files
passwd: files winbind
shells: files

Запусаем самбовые демоны.
Выполняем: 'net ads join -U Administrator%password'.
Сервер нормально включается в домен DOMAIN1.FOREST в качестве server
membership'а.

Далее смотрим чего там с винбиндом.

# wbinfo -p
Ping to winbindd succeeded on fd 5

# wbinfo -m
FOREST
DOMAIN1
DOMAIN2
DOMAIN3

Вроде все ок кроме одного.

# wbinfo -u
FOREST\user1
FOREST\user2
FOREST\user3
...
DOMAIN1\user1
DOMAIN1\user2
DOMAIN1\user3
...
и все.

Т.е. винбинд биндит только пользователей из "своего" домена (в который
добавляли сабму) и из корневого. А мне нужно, чтобы из всех доменов леса
биндил (реально нужно три домена, но и вообще от всех не откажусь).

Вопрос: чего не докрутил, чего не так сделал?

-- 
      WBR, Alexander B. Gottlieb, mailto:alex на cca.usart.ru
      ICQ: 13043204 / Jabber: alex на jabber.usurt.ru
-|-                                                                  -|-