Доверие доменов samba Astra linux

Есть большая вероятность, что здесь не помогут и предложат обратиться в техподдержку купленного вами дистрибутива. Причина: хрен ее эту астру знает, что там наворочено, ТП лучше должна знать.

Насколько я помню, sssd не подходит для раздачи прав на файловом сервере. Он был написан для клиентов домена. Тут нужен winbind, чтобы на сервере появились локальные пользователи, соотнесенные с доменными. И уже этим пользователям можно раздавать права.

Соответственно wbinfo -u и -g должны возвращать списки пользователей обоих доменов. Со своими доменами. Дальще уже дело техники. В общем, настраивай winbind.

Возможно тебе поможет эта статья - https://docs.altlinux.org/ru-RU/domain/10.4/html/samba/install-AD-client.html .

Опять же возможно у тебя не работает это

Ограничения Samba Winbind:
   политики не управляются централизованно и должны распространяться вне группы;

И не понятно зачем тебе громоздкий winbind, если sssd работает в требованиях отсутствует NTLM, а это единственное из-за чего wb ещё живёт, а не удалён из дистров.

Добрый день!

1. Касаемо Астры - это не важно. Пусть даже будет Дебиан - не суть.
2. На самом деле с основным доменом, то есть доменом к которому подключена ОС - проблем нет. Проблемы с доверенным доменом.
3. winbind используется.

На самом деле есть некоторые продвижения в этом вопросе: Добавил в конфиг kerberos зону второго домена и директиву «winbind scan trusted domains = Yes» в файл smb.conf и идентификация стала проходить успешно.

Но возникла другая проблема!

Необходимо добавить доменному пользователю группу sudo.

Саму группу через команду usermod -G sudo -a я добавил, но необходимо добавить этого пользователя в файл /etc/sudoers Такую же операцию я успешно проделывал с администратором основного домена.

Фишка в том, что в файл sudoers пользователь прописывается без домена. В случае с пользователями основного домена (того домена, который выступает по умолчанию) это работает. Но пользователя из доверенного домена система не распознаёт. Прописывать после имени пользователя второй домен @DOMAIN - результата не даёт.

Подскажите, пожалуйста, как позволить доменному пользователю доверенного домена работать с правами root?

Спасибо.

А там разве не +?

P.S. Тут советуют:

domain\\user ALL=(ALL) ALL

или

%DOMAIN\\domain^users ... 

Не один из вариантов не работает - пишет, что пользователь не найден в файле.

Как писал выше, меня смущает тот момент, что для пользователя основного домена я этом файле вообще не указывал каких-либо указаний на домен - просто имя: %администратор И этого достаточно.

Вероятно, он из (откуда?) конфига самбы или кербероса или еще откуда-то берет домен по умолчанию, а второй домен таковым не является.

Я пробовал в krb5, smb.conf в realm дописывать второй домен (или вторую запись realm), но это ломает вообще все.

Ну у вас же нет в конфиге самбы строки - default domain … или как то так? Если это строка есть то он лепит юзера без домена.

default domain в самбе нет. В самбе есть realm = основной домен

В настройках керберос есть для зон такая строка. Ну, то есть зона (в секции [realms]) основного домена и зона дополнительно. идентичные директивы

А еще в krb5 есть директива default_realm = ОСНОВНОЙ ДОМЕН Но без этого параметра авторизация не работает.

Ну правильно ли я понимаю, раз я при аутентификации не указываю домен, то он берет основной домен по умолчанию?

$su администратор

Да. Но в любом случае sudo должно брать этого юзера из домена.