[Samba-it] join/winbind/getent: gruppi vuoti?

[NdK]

Il 01/12/21 14:17, NdK ha scritto:

Uhm... Appena notato: testparm non segnala presente la linea
  winbind nested groups = yes

Strano... Comunque "secondario": vorrei/dovrei almeno ottenere i membri
diretti del gruppo...

> Ciao a tutti.
> 
> Dopo aver usato per parecchio PBIS-open (non sempre con
> soddisfazione...) ora sto tornando alla soluzione più "base":
> installazione di samba e winbind (versione fornita dall'ultima Ubuntu
> LTS o da Debian 10 o 11, a seconda dello stato di aggiornamento della
> macchina dove installo).
> 
> Il mio smb.conf "visto" da testparm:
> -8<--
> [global]
>   domain master = No
>   local master = No
>   log file = /var/log/samba/log.%m
>   logging = file
>   map to guest = Bad User
>   max log size = 1000
>   obey pam restrictions = Yes
>   os level = 0
>   panic action = /usr/share/samba/panic-action %d
>   preferred master = No
>   realm = PERSONALE.DOMINIO.IT
>   restrict anonymous = 2
>   security = ADS
>   server role = member server
>   template shell = /bin/bash
>   winbind enum groups = Yes
>   winbind enum users = Yes
>   winbind separator = #
>   winbind use default domain = Yes
>   workgroup = PERSONALE
>   idmap config studenti.dominio.it : range = 1000000000-9999999999
>   idmap config studenti.dominio.it : backend = rid
>   idmap config personale.dominio.it : default = yes
>   idmap config personale.dominio.it : range = 100000000-999999999
>   idmap config personale.dominio.it : backend = rid
>   idmap config * : range = 3000-7999
>   idmap config * : backend = tdb
> -8<--
> 
> Nella foresta mi interessano solo gli alberi di PERSONALE e STUDENTI.
> Come si può notare dai range che ho assegnato, sono domini con *tanti*
> oggetti (600k gruppi in PERSONALE e più di 800k in STUDENTI, l'ultima
> volta che ho provato a guardarci), e questo sta creando molti problemi
> di uid-clash a PBIS.
> 
> Purtroppo il massimo che posso fare nel dominio è joinare le macchine,
> per questo sono costretto ad usare rid per avere una mappatura coerente
> tra i vari server. Ho chiesto diverse volte la modifica dello schema per
> supportare la gestione centralizzata di UID e GID ma mi è sempre stata
> negata.
> 
> Il maggior problema che riscontro è che malgrado gli enum, se faccio un
> getent group ottengo i dati del gruppo senza gli utenti membri:
> # getent group str00957-cluster-nucleare
> str00957-cluster-nucleare:x:100538965:
> 
> Sto sbagliando qualcosa?
> 
> Inoltre mi pareva ci fosse un'opzione per sostituire lo spazio nei nomi
> dei gruppi (tipo "domain members") con un altro carattere, ma non la
> trovo più :( Me la sono sognata?
> 
> Ogni consiglio è benvenuto.
> 
> Grazie,
> Diego