На данный момент при вводе системы в AD-домен с помощью task-auth-ad-sssd и alterator-auth в smb.conf добавляются следующие строчки: idmap config * : range = 200000-2000200000 idmap config * : backend = sss Однако, это приводит к ошибке при вызове testparam с завершением с кодом -1: >ERROR: Do not use the 'sss' backend as the default idmap backend! Это, например, сказывается на некорректную работу kde5-network-filesharin: https://bugzilla.altlinux.org/42703 >Because default idmap backend needs to be writable while 'sss' is a read-only backend. https://samba-technical.samba.narkive.com/FI2cZO2f/why-is-the-sss-backend-verboten-as-a-default-idmap-backend Приведение конфигурации, согласно примеру из man (8) idmap_sss, к виду: workgroup = MYDOMAIN idmap config MYDOMAIN : backend = sss idmap config MYDOMAIN : range = 200000-2000200000 idmap config * : backend = tdb idmap config * : range = 100000-199999 решает проблему.
Такой конфиг может привести к расхождению uid'ов пользователей в трастовых доменах. На данный момент не ясно как лучше поступить. Исправить конфиг на предложенный выше, или убрать ошибку в testparam. Есть ещё предложение пропатчить самбу, чтобы можно было прописывать range по умолчанию в smb.conf.
Я немного поэксперементировал, вроде вот так без ошибок: idmap config MYDOMAIN : backend = sss idmap config MYDOMAIN : range = 200000-2000200000 idmap config * : backend = tdb idmap config * : range = 0-0 Не знаю, насколько это допустимо и не повлечет ли последствия.