post by tommy @ 23 三月, 2017 10:00
記錄一下當 Linux 上面透過 krb5-user 與 winbind 加入 AD 之後的一些小問題.
- kinit 執行會失敗
- 本機上的使用者無法透過 passwd 修改本機密碼
這個部份是在 /etc/pam.d/common-password (不同的系統可能名稱不一樣), 通常會加上一筆
password [success=2 default=ignore] pam_krb5.so
的設定在 pam_unix.so 之前. 所以在執行 passwd 時, 就會去異動 AD 上的密碼, 但該使用者又非 AD 帳號, 所以會有問題.
這時可以在 pam_krb5.so 後面加上 minimum_uid=10000 的參數 (數字自行決定, 就是 AD mapping 過來的帳號的最小值), 這樣子就可以避免這個問題了.
- 有些帳號與群組使用 wbinfo -g 或 wbinfo -u 時可以查到, 但無法在 samba 中使用
通常出現這情形時, 使用 wbinfo -i (--user-info 或 --group-info) 時, 會無法正常取得資料. 透過 getent passwd 或 getent group 查詢時也會查不到 (所以設定好後, 建議用 getent passwd/group 來驗證是否可用, 不要用 wbinfo -u/-g).
這個問題有可能是因為在 smb.conf 中有加上這個參數造成的:
winbind normalize names = Yes
移除後就應該會正常了 (當初不知是那兒抄來的參數... 想不起來為什麼會用到).
- samba 分享出來的路徑, 根目錄 (其他的也有可能) 無法寫入新的檔案或目錄.
這個不確定是不是 samba 新版本造成的, 因為一直以來相同的設定都可以用.
我們習慣在 smb.conf 中對該分享設定
create mode = 644
directory mode = 755
force user = nobody
force group = nogroup
force create mode = 644
force directory mode = 755
create mask = 0644
發現在新的機器上會有這個問題. 後來是改成 664 與 775 的設定, 然後把該目錄下面的權限把 group 的寫入權限也加上後, 就可以正常使用了.