[Samba-it] join/winbind/getent: gruppi vuoti?

NdK ndk.clanbo at gmail.com
Wed Dec 1 13:17:01 UTC 2021 

Ciao a tutti.

Dopo aver usato per parecchio PBIS-open (non sempre con
soddisfazione...) ora sto tornando alla soluzione più "base":
installazione di samba e winbind (versione fornita dall'ultima Ubuntu 
LTS o da Debian 10 o 11, a seconda dello stato di aggiornamento della 
macchina dove installo).

Il mio smb.conf "visto" da testparm:
-8<--
[global]
   domain master = No
   local master = No
   log file = /var/log/samba/log.%m
   logging = file
   map to guest = Bad User
   max log size = 1000
   obey pam restrictions = Yes
   os level = 0
   panic action = /usr/share/samba/panic-action %d
   preferred master = No
   realm = PERSONALE.DOMINIO.IT
   restrict anonymous = 2
   security = ADS
   server role = member server
   template shell = /bin/bash
   winbind enum groups = Yes
   winbind enum users = Yes
   winbind separator = #
   winbind use default domain = Yes
   workgroup = PERSONALE
   idmap config studenti.dominio.it : range = 1000000000-9999999999
   idmap config studenti.dominio.it : backend = rid
   idmap config personale.dominio.it : default = yes
   idmap config personale.dominio.it : range = 100000000-999999999
   idmap config personale.dominio.it : backend = rid
   idmap config * : range = 3000-7999
   idmap config * : backend = tdb
-8<--

Nella foresta mi interessano solo gli alberi di PERSONALE e STUDENTI. 
Come si può notare dai range che ho assegnato, sono domini con *tanti* 
oggetti (600k gruppi in PERSONALE e più di 800k in STUDENTI, l'ultima 
volta che ho provato a guardarci), e questo sta creando molti problemi 
di uid-clash a PBIS.

Purtroppo il massimo che posso fare nel dominio è joinare le macchine, 
per questo sono costretto ad usare rid per avere una mappatura coerente 
tra i vari server. Ho chiesto diverse volte la modifica dello schema per 
supportare la gestione centralizzata di UID e GID ma mi è sempre stata 
negata.

Il maggior problema che riscontro è che malgrado gli enum, se faccio un 
getent group ottengo i dati del gruppo senza gli utenti membri:
# getent group str00957-cluster-nucleare
str00957-cluster-nucleare:x:100538965:

Sto sbagliando qualcosa?

Inoltre mi pareva ci fosse un'opzione per sostituire lo spazio nei nomi 
dei gruppi (tipo "domain members") con un altro carattere, ma non la 
trovo più :( Me la sono sognata?

Ogni consiglio è benvenuto.

Grazie,
Diego

More information about the samba-it mailing list