43164 2022-07-06 17:26:24 +0300 ERROR: Do not use the 'sss' backend as the default idmap backend! 2024-05-06 14:46:19 +0300 1 1 4 Development Sisyphus alterator-auth unstable x86_64 Linux ASSIGNED P5 normal --- 1 cavetroll svn17 aen boot.efi boyarsh sin svn17 qa-sisyphus oldest_to_newest 212366 0 cavetroll 2022-07-06 17:26:24 +0300 На данный момент при вводе системы в AD-домен с помощью task-auth-ad-sssd и alterator-auth в smb.conf добавляются следующие строчки: idmap config * : range = 200000-2000200000 idmap config * : backend = sss Однако, это приводит к ошибке при вызове testparam с завершением с кодом -1: >ERROR: Do not use the 'sss' backend as the default idmap backend! Это, например, сказывается на некорректную работу kde5-network-filesharin: https://bugzilla.altlinux.org/42703 >Because default idmap backend needs to be writable while 'sss' is a read-only backend. https://samba-technical.samba.narkive.com/FI2cZO2f/why-is-the-sss-backend-verboten-as-a-default-idmap-backend Приведение конфигурации, согласно примеру из man (8) idmap_sss, к виду: workgroup = MYDOMAIN idmap config MYDOMAIN : backend = sss idmap config MYDOMAIN : range = 200000-2000200000 idmap config * : backend = tdb idmap config * : range = 100000-199999 решает проблему. 212710 1 svn17 2022-07-13 19:01:15 +0300 Такой конфиг может привести к расхождению uid'ов пользователей в трастовых доменах. На данный момент не ясно как лучше поступить. Исправить конфиг на предложенный выше, или убрать ошибку в testparam. Есть ещё предложение пропатчить самбу, чтобы можно было прописывать range по умолчанию в smb.conf. 213637 2 cavetroll 2022-08-12 09:07:50 +0300 Я немного поэксперементировал, вроде вот так без ошибок: idmap config MYDOMAIN : backend = sss idmap config MYDOMAIN : range = 200000-2000200000 idmap config * : backend = tdb idmap config * : range = 0-0 Не знаю, насколько это допустимо и не повлечет ли последствия. 245893 3 boot.efi 2024-05-06 14:46:19 +0300 (Ответ для Иван Савин на комментарий #1) > Такой конфиг может привести к расхождению uid'ов пользователей в трастовых > доменах. На данный момент не ясно как лучше поступить. Исправить конфиг на > предложенный выше, или убрать ошибку в testparam. > Есть ещё предложение пропатчить самбу, чтобы можно было прописывать range по > умолчанию в smb.conf. AFAIK sssd не работает нормально с трастовыми доменами и везде рекомендуют winbind. Может исправить эту ошибку хотя бы при подключении домена через sssd, т.к. это вариант по умолчанию? В вики и документации для каждого домена предлагается прописывать диапазоны идентификаторов и задавать idmap по умолчанию как tdb: https://www.altlinux.org/Trusts#%D0%98%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5_%D1%82%D1%80%D0%B0%D1%81%D1%82%D0%BE%D0%B2_%D0%BD%D0%B0_LINUX-%D0%BA%D0%BB%D0%B8%D0%B5%D0%BD%D1%82%D0%B0%D1%85 https://docs.altlinux.org/ru-RU/domain/10.2/html/samba/ch05s05.html