[samba-jp:22805] Re: getent と winbindd

[TAKAHASHI Motonobu/高橋 基信]

たかはしもとのぶです。

> https://wiki.samba.org/index.php/Setup_Samba_as_an_AD_Domain_Member#Testing_Winbindd_user.2Fgroup_retrieval
> 
> によれば、wbinfo -u, -g ではドメイン名なしのユーザー名、グループ名が表示されているのが例示されていますが、こちらでは

とありますが、上記Webページをみても、wbinfo -uの実行例は
見つけられませんでした。

ちなみに、デフォルトの表示は、

> OIKUMENE\administrator
> OIKUMENE\krbtgt
> OIKUMENE\guest
> OIKUMENE\hiroo
> 
> とドメイン名が付きます。

というのが正しいです。つけたくない場合は、

  winbind use default domain = yes

を global セクションで設定してください。

> これはまあいいとして、nsswitch.conf の passwd の項を files winbind としても、
> 
> # getent passwd
> ...
> pulse:*:563:563:PulseAudio System User:/nonexistent:/usr/sbin/nologin
> 
> と /etc/passwd に記載されている分しか出力されません。

デフォルトでは、ユーザが大量に存在する状態で getent passwd 相当の
操作を行ってしまうと Active Directory のドメインコントローラに
負荷が掛かってしまうという事象を避けるため、上記のような動作を
するようになっています。

> getent passwd
> で、ADで登録したユーザーも表示される
> 
> ようにしたいのですが、これを実現する設定方法はありますでしょうか?

ユーザ、グループ各々について、global セクションで

  winbind enum users = yes
  winbind enum groups = yes

を設定してください。

そのほか、smb.conf を拝見しましたが、

> idmap_ldb:use rfc2307 = yes

上記の設定はドメインコントローラでのみ有効ですので、
メンバサーバでは機能しません。

>         # winbind
>         password server = *

上記の設定は不要です。上記は password server パラメータの
デフォルトの動作なので不要というのと、このパラメータ自体が
かなり以前に、認証先のドメインコントローラを手動で指定する
必要があった時代のもので、かなり前から Windows と同じ自動検出
機能がきちんと機能するので不要ということもあって、ほとんど
メンテナンスされておらず、数年前に調べた際にも、きちんと
機能していなかった記憶があります。

よろしくお願いします。

-- 
TAKAHASHI Motonobu/高橋 基信 <monyo ＠ monyo.com>