没有表现出组我有使用中的libnss-LDAP绑定到2008 Active Directory域控制器来查找用户和组Debian的挤压系统。一切工作正常,但由于某种原因,任何人谁是域管理员,企业管理员或架构管理员组中没有得到正确的组成员身份。他们只获得* Admin组,并且没有其他人(除非有本地团体申请,哪些会显示)。域管理员通过LDAP
更奇怪的是,“getent组”显示用户的所有正确的组成员资格,但“id”或“groups”(以用户身份运行时)不显示。我们使用域组sudo访问,因为它没有看到组成员该用户不能使用sudo。只要*管理员成员资格被删除,查找就能正常工作。
我也许怀疑这是一个AD的安全功能,但我们必须使用NSS-LDAP对这些用户的组成员正确解决的FreeBSD系统。有没有在日志说明为什么这些查找不返回正常的结果,我一直没能找到通过谷歌任何帮助的情况线索。是否有其他人在Debian中使用libnss-ldap连接到可以尝试确认此行为的AD?
编辑:我已经使用ldapsearch证实AD正在返回正确的结果。我也停止nscd以确保它不会干扰。域管理员中的任何用户只能看到他的主要组,本地组和域管理员。
顺便说一句,我认为这是问题:
http://support.microsoft.com/kb/976063
http://support.microsoft.com/kb/976063与您的问题无关这是关于UAC功能的。由于您是从Debian运行的,UAC完全不在图片中。我之前没有使用libnss-ldap,但有一些商业产品,我相信这样做会更好。尝试从www.centrify.com下载免费版本的DirecControl并查看它是否有效。 – 2011-09-21 05:37:52