[samba-jp:23034] Re: samba-4.10.4でAD認証時「プライマリグループ」を取得できません

Goto, Ryoichi rgoto @ oec.co.jp
2020年 2月 17日 (月) 16:58:46 JST 

後藤です。お世話になります。

> smb.conf(5) の winbind 関連の設定はどうなっていますか。

こんな感じです。

[global]
        kerberos method = secrets and keytab
        realm = TESTDOM.LOCAL
        workgroup = TESTDOM
        password server = adsv.testdom.local
        security = ads
        winbind enum groups = Yes
        winbind enum users = Yes
        winbind separator = +
        winbind use default domain = true
        winbind offline logon = false
        template homedir = /home/%g/%u
        template shell = /bin/bash
        idmap uid = 16777216-33554431
        idmap gid = 16777216-33554431

> プライマリグループの設定と `id` の確認のタイミングによっては
> `net cache flush` したら解決したりして?

効果はないですね。

> >  この件に関して、「samba系4.09までにはバグがあり、4.10以降で修
> > 正された。但し4.10以降でも、
> 
> 具体的に、バグ番号、リリースノートの記載内容などわかりませんか。

 私もOS系の方から聞いただけなので・・・検索してみましたが、「その
ものズバリ」はなかなか見つかりませんね。
https://www.samba.org/samba/history/samba-4.10.0.html
の中ほどに
The version number for GroupChange messages is now 1.1, changed from 1.0. Also
A GroupChange message is generated when a new user is created to log that the
user has been added to their primary group.
と言うのがありますが、何か関係するだろうか。。。
「改善は4.10.4-1」と聞いてましたが、samba-4.10.4.html には特に
情報を見つけられませんでした。

=============================================
後藤 良一 Mail:rgoto @ oec.co.jp TEL:097-537-9579 FAX:097-537-9556

> -----Original Message-----
> From: samba-jp <samba-jp-bounces @ samba.gr.jp> On Behalf Of SATOH Fumiyasu
> Sent: Monday, February 17, 2020 1:39 PM
> To: Sambaについての様々な質疑応答用 <samba-jp @ samba.gr.jp>
> Subject: [samba-jp:23033] Re: samba-4.10.4でAD認証時「プライマリグループ」を取得できません
> 
> さとうふみやす @ OSSTech です。
> 
> On Mon, 17 Feb 2020 09:47:51 +0900,
> Goto, Ryoichi wrote:
> >  以下、sambaのwinbindにてAD認証したRHEL8.1環境下で、
> > ADのドメインユーザに設定した「プライマリグループ」の情報が
> > 取得できません。
> 
> smb.conf(5) の winbind 関連の設定はどうなっていますか。
> 
> > "p-group01" と言うADドメイン上のグループをプライマリグルー
> > プと指定したユーザ "ad-user01" のデータをidコマンドで取得す
> > ると、
> > [root @ sv01 ~]# id ad-user01
> > uid=16777220(ad-user01) gid=2000513(domain users) groups=2000513(domain users),16777216(p-group01)
> > と表示されます。gidにははp-group01が表示されません。
> >  しかしこれを、同じADに対し、認証クライアントRHEL6.9、
> 
> backend は idmap_rid(8) だろうか?
> 
> プライマリグループの設定と `id` の確認のタイミングによっては
> `net cache flush` したら解決したりして?
> 
> >  この件に関して、「samba系4.09までにはバグがあり、4.10以降で修
> > 正された。但し4.10以降でも、
> 
> 具体的に、バグ番号、リリースノートの記載内容などわかりませんか。
> 
> > [root @ sv01 ~]# wbinfo -a ユーザ名%パスワード
> > 等と、『一度ログインの記録を作る』必要がある」と言う話を聞きました。
> > 確かに"wbinfo -a" を施したユーザは id コマンドでプライマリグループ
> > を取得出来ます。
> 
> ほー。なんかバグっぽい挙動ですね。
> 
> --
> -- Name: SATOH Fumiyasu @ OSS Technology Corp. (fumiyas @ osstech co jp)
> -- Business Home: https://www.OSSTech.co.jp/
> -- GitHub Home: https://GitHub.com/fumiyas/
> -- PGP Fingerprint: BBE1 A1C9 525A 292E 6729  CDEC ADC2 9DCA 5E1C CBCA

samba-jp メーリングリストの案内