[samba-jp:23032] samba-4.10.4でAD認証時「プライマリグループ」を取得できません

Goto, Ryoichi rgoto @ oec.co.jp
2020年 2月 17日 (月) 09:47:51 JST


後藤と申します。お世話になります。

 以下、sambaのwinbindにてAD認証したRHEL8.1環境下で、
ADのドメインユーザに設定した「プライマリグループ」の情報が
取得できません。
 以下の環境で試行しています。
AD:Windows2016 Server
認証クライアント関係:	RHEL8.1
			samba-libs-4.10.4-101
			samba-winbind-modules-4.10.4-101
			samba-common-4.10.4-101
			samba-client-libs-4.10.4-101
			samba-common-tools-4.10.4-101.el8_1.x86_64
			samba-winbind-4.10.4-101
			samba-common-libs-4.10.4-101
			samba-winbind-clients-4.10.4-101
			krb5-libs-1.17-9
"p-group01" と言うADドメイン上のグループをプライマリグルー
プと指定したユーザ "ad-user01" のデータをidコマンドで取得す
ると、
[root @ sv01 ~]# id ad-user01
uid=16777220(ad-user01) gid=2000513(domain users) groups=2000513(domain users),16777216(p-group01)
と表示されます。gidにははp-group01が表示されません。
 しかしこれを、同じADに対し、認証クライアントRHEL6.9、
samba系pkg全て3.6.23-41系で実施すると、何も対策しなくても
[root @ sv00 ~]# id ad-user01
uid=16777220(ad-user01) gid=16777216(p-group01) groups=16777216(p-group01),2000513(domain users)
と、gidにADのプライマリグループ指定値を選択してくれます。

 この件に関して、「samba系4.09までにはバグがあり、4.10以降で修
正された。但し4.10以降でも、
[root @ sv01 ~]# wbinfo -a ユーザ名%パスワード
等と、『一度ログインの記録を作る』必要がある」と言う話を聞きました。
確かに"wbinfo -a" を施したユーザは id コマンドでプライマリグループ
を取得出来ます。

 しかし今回、RHEL5.5で構築されたsamba-3.3.8-0.52系の、ADに
てユーザ認証するメールサーバを、上記CentOS8.1の環境に移行しなけ
ればなりません。既に運用状態のADは各ユーザがパスワードを自由に
修正しており、「一律、バッチ処理で "wbinfo -a"コマンドを施す」と言
った対策が取れません。
 運用では、プライマリグループ単位にユーザを処理したり、$HOMEを
分けたりしているので、プライマリグループの取得が必須条件です。

 samba-4.10系で、各ユーザのパスワードなどを使うことなくバッチ処
理的な処方でプライマリグループを認識/取得させる方法はないものでし
ょうか。
=============================================
後藤 良一 Mail:rgoto @ oec.co.jp



samba-jp メーリングリストの案内