ALT Linux Bugzilla – Full Text Bug Listing
| Summary: | ERROR: Do not use the 'sss' backend as the default idmap backend! | ||
|---|---|---|---|
| Product: | Sisyphus | Reporter: | Илья Демьянов <cavetroll> |
| Component: | alterator-auth | Assignee: | Иван Савин <svn17> |
| Status: | ASSIGNED --- | QA Contact: | qa-sisyphus |
| Severity: | normal | ||
| Priority: | P5 | CC: | aen, boot.efi, boyarsh, sin, svn17 |
| Version: | unstable | ||
| Hardware: | x86_64 | ||
| OS: | Linux | ||
Такой конфиг может привести к расхождению uid'ов пользователей в трастовых доменах. На данный момент не ясно как лучше поступить. Исправить конфиг на предложенный выше, или убрать ошибку в testparam. Есть ещё предложение пропатчить самбу, чтобы можно было прописывать range по умолчанию в smb.conf. Я немного поэксперементировал, вроде вот так без ошибок: idmap config MYDOMAIN : backend = sss idmap config MYDOMAIN : range = 200000-2000200000 idmap config * : backend = tdb idmap config * : range = 0-0 Не знаю, насколько это допустимо и не повлечет ли последствия. (Ответ для Иван Савин на комментарий #1) > Такой конфиг может привести к расхождению uid'ов пользователей в трастовых > доменах. На данный момент не ясно как лучше поступить. Исправить конфиг на > предложенный выше, или убрать ошибку в testparam. > Есть ещё предложение пропатчить самбу, чтобы можно было прописывать range по > умолчанию в smb.conf. AFAIK sssd не работает нормально с трастовыми доменами и везде рекомендуют winbind. Может исправить эту ошибку хотя бы при подключении домена через sssd, т.к. это вариант по умолчанию? В вики и документации для каждого домена предлагается прописывать диапазоны идентификаторов и задавать idmap по умолчанию как tdb: https://www.altlinux.org/Trusts#%D0%98%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5_%D1%82%D1%80%D0%B0%D1%81%D1%82%D0%BE%D0%B2_%D0%BD%D0%B0_LINUX-%D0%BA%D0%BB%D0%B8%D0%B5%D0%BD%D1%82%D0%B0%D1%85 https://docs.altlinux.org/ru-RU/domain/10.2/html/samba/ch05s05.html |
На данный момент при вводе системы в AD-домен с помощью task-auth-ad-sssd и alterator-auth в smb.conf добавляются следующие строчки: idmap config * : range = 200000-2000200000 idmap config * : backend = sss Однако, это приводит к ошибке при вызове testparam с завершением с кодом -1: >ERROR: Do not use the 'sss' backend as the default idmap backend! Это, например, сказывается на некорректную работу kde5-network-filesharin: https://bugzilla.altlinux.org/42703 >Because default idmap backend needs to be writable while 'sss' is a read-only backend. https://samba-technical.samba.narkive.com/FI2cZO2f/why-is-the-sss-backend-verboten-as-a-default-idmap-backend Приведение конфигурации, согласно примеру из man (8) idmap_sss, к виду: workgroup = MYDOMAIN idmap config MYDOMAIN : backend = sss idmap config MYDOMAIN : range = 200000-2000200000 idmap config * : backend = tdb idmap config * : range = 100000-199999 решает проблему.