Este programa es parte de Samba(7) suite.
winbindd es un demonio que proporciona un servicio para el Name Service Switch (NSS) que está presente en la mayoría de las bibliotecas C modernas. El Name Service Switch permite obtener información de usuarios y sistemas de diferentes bases de datos mediante el fichero /etc/nsswitch.conf. Los usuarios y grupos se ubican cuando se resuelven en un rango de identificadores de usuario y grupo fespecificados por el administrador del sistema Samba.
El servicio que proorciona winbindd se llama `winbind' y se puede usar para resolver información de usuarios y grupos correspondiente a un servidor Windows NT. El servicio puede proporcionar también validación mediante un módulo PAM.
El módulo pam_winbind de la edición 2.2.2 sólo admite los tipos de módulo auth y account. La última simplemente realiza un getpwnam() para verificar qye el sistema puede obtener un uid para el usuario. Si la biblioteca libnss_winbind se ha instalado correctamente esto siempre debería funcionar.
El servicio winbindd implementa las siguintes bases de datos nsswitch:
Información de usuario tradicionalmente almacenada en el fichero hosts(5) y usada por las funciones gethostbyname(3). Los nombres se resuelven mediante servidores WINS o por difusión.
Información de usuario tradicionalmente almacenada en el fichero passwd(5) y usada por las funciones getpwent(3).
Información de grupos tradicionalmente almacenada en el fichero group(5) y usada por las funciones getgrent(3).
passwd: files winbind group: files winbind |
La siguiente configuración del fichero /etc/nsswitch.conf se puede usar para resolver los nombres de máquina inicialmente de /etc/hosts y posteriormente de un servidor WINS.
hosts: files wins |
Si se especifica, este parámetro hace que el proceso principal winbindd no de deminice, i.e. doble-fork separación del terminal. Los procesos hijos se cran como un servicio normal en cada solicitud de conexión, pero el proceos principal no termina. Este modo de operación es adecuado para ejecutar winbindd bajos supervisores de procesos como supervise y svscan de Daniel J. Bernstein's daemontools, o el monitor de proceos de AIX.
Si se especifica, este parámetro hace que winbindd registre en la salida estándar en lugar de en un fichero.
Imprime la versión del programa.
El fichero especificado contiene los detalles de configuración que necesita el servidor. La información de este fichero contiene información específica del servidor como el fichero printcap que tiene que usar, también la descripción de todos los servicios que el servidor proporciona. Vea smb.conf para más información. La el fichero de configuración predeterminado se determina en la compilación.
debuglevel es un entero entre 0 y 10. El valor predeterminado de este parámetro es cero.
Cuano más alto sea este valor, más detalles registrará en el fichero sobre las actividades del servidor. En el nivel 0, sólo registra errores críticos y avisos serios. El nivel 1 es un nivel razonable para la ejecución día a día; genera una pequeña cantidad de información sobre las operaciones realizadas.
En nuveles superiores a 1, genera can cantida dde datos de registro y sólo se deben usar cuando se investiga un problema. Los niveles superiores al 3 están pensados sólo para desarrolladores y generan una inmensa cantidad de datos, la mayoría de los cuales son extremadatente complicados.
TEnga en cuenta que este parámetro se antepone al parámetro log level del fichero smb.conf.
Nombre base de los ficheros de depuración/log. Se añade la extensión ".client". El fichero deregistro nunca lo borra el cliente.
Muestra un resumen de las opciones de la línea de órdenes.
Le dice a winbindd que no se ejecute como demonio y no se deslinde del teminal. Esta opción se usa por los desarrolladores cuando necesitan realizar depuración interactiva winbindd. winbindd también registra en la salida estándar como si hubiéramos puesto el parámetro -S.
Desactiva el cacheo. Esto significa que winbindd siempre tiene que esperar una respuesta del controlador de dominio antes de que pueda responder al clietne y hacer así las cosas un poco más lentas. Sin embargo, el resultado será más preciso, ya que los resulados del cache podrían no estar actualizados. Esto podría también colgar winbindd si el cotolador de dominio no responde.
Modo demonio simple. Esto significa que winbindd se ejecutará como un simple proceso (el modo de operación Samba 2.2). El comportamiento de Winbindd es lanzar un proceso hijo que es responsable de actualizar los valores del cache que hayan expirado.
Los usuarios y grupos en servidores Windows NT tienen asignado un id relativo (rid) que es único para el dominio cuando se crea el usuario o grupo. Para convertir usuarios o grupos de Windows NT en usuarios o grupos UNIX se necesita hacer una asociación entre rid e id de usuario o grupo. Este es uno de los trabajos que hace winbindd.
Como los usuario y grupo winbindd se resuelven de un servidor, los id de usuario y grupo de toman de un rango específico. Esto se hace la promera vez que llega, primer servicio básico, aunque todos los usuario y grupos existentes se asocian tan pronto como el cliente solicite una orden de enumeración de usuario o grupos. Los id UNIX se almacenan en un fichero de base de datos en el directorio lock de Samba y se recuerdan para veces sucesivas.
AVISO: La base de datos de rid a id unix es la única ubicación donde winbindd guardan las asociaciones. Si este fichero se borra o se deteriora winbindd no tiene forma de determinar que id UNIX corresponde qué rid de Windows NT.
La configuración del demonio winbindd se realiza mediante ciertos parámetros en el fichero smb.conf(5). Todos los parámetros se deben especificar en la sección [global] de smb.conf.
Para configurar winbindd para búsquedas de usuario más validación a partir de un controlador de dominio use algo parecido a la siguiente confguración. Eso se ha probado en un RedHat 6.2 Linux.
En /etc/nsswitch.conf pnga lo siguiente: following:
passwd: files winbind group: files winbind |
En /etc/pam.d/* sustituya las líneas auth por algo como esto:
auth required /lib/security/pam_securetty.so auth required /lib/security/pam_nologin.so auth sufficient /lib/security/pam_winbind.so auth required /lib/security/pam_pwdb.so use_first_pass shadow nullok |
Observe el uso de las claves sufficient y use_first_pass.
Ahora sustituya las líneas account con esto:
account required /lib/security/pam_winbind.so
El siguiente paso es unirse al dominio. Para hacerlo use el programa net como:
net join -S PDC -U Administrator
El usuario tras el -U puede ser cualqueir usario del dominio que tenga privilegios administrativos en la máquina. Sustituya el nombre o IP de su PDC por "PDC".
A continuación copie libnss_winbind.so en /lib y pam_winbind.so en /lib/security. Es necesario hacer una enlace simbólico de /lib/libnss_winbind.so a /lib/libnss_winbind.so.2. ISi está usando una versión vieja de glibc, el enlace se debería hacer sobre /lib/libnss_winbind.so.1. (Puede que en su distribución de Linux esto no sea necesario)
Finalmente, configure un smb.conf(5) que contenga las directivas parecidas a lo siguiente:
[global]
winbind separator = +
winbind cache time = 10
template shell = /bin/bash
template homedir = /home/%D/%U
idmap uid = 10000-20000
idmap gid = 10000-20000
workgroup = DOMAIN
security = domain
password server = *
|
Ahora inicie winbindd y debería comprobar que su base de datos de usuarios y grupos se expande para incluir los usuario y grupos del NT y que puede conectarse a su máquina unix como usuario del dominio usando la sintaxis DOMAIN+user para el usuario. Puede ejecutar las órdenes getent passwd y getent group para confirmar la corercta operación de winbindd.
Las siguientes observaciones son útiles cuando se configura y ejecuta winbindd:
nmbd(8) tiene que ejecutarse en la máquina local para que winbindd funcione. winbindd consulta por el servidoor NT a las listas de dominios de confianza en el arranque y cuando recive la señal SIGHUP. Así, en un winbindd en ejecución, para quereconozcar las nuevas relaciones de confianza entre servidores, se le debe enviar la señal SIGHUP.
En PAM es realmente fácil cometer errores de configuración. Asegúrese de que sabe lo que está haciendo cuando modifique los ficheros de configuración PAM. Es posible configurar PAM de forma que no ueda volver a entrar en su sistema.
Si hay más de una máquina UNIX ejecuta winbindd, en general los id de usuarios asignados por winbindd grupos no serán los mismos. Los id de usuario y grupo sólo son válidos paralamáquina local.
Si la asociación entre rid Windows NT RID en id de usuario o grupos UNIXse deteriora o restruye, se pierde la asociación.
Las siguientes señales se pueden usar para manipular el demonio winbindd.
Reecarga el fichero smb.conf(5) y aplica cualquier cambio de parámetros de la veersión dee winbindd en ejecución. Esta señal también elimina cualuier usuario o gruo del cache. También se recarga la lista de otros domminios de confianza.
La señal SIGUSR2 hará que winbindd escriba la información del status en el fichero de log de winbind incluyendo información sobre el número de id de usuario y grupo asocoados por winbindd.
Los ficheros log se alamcenan en el fichero especificado por el parámetro log file.
Fichero de configuración de Name service switch.
La tubería UNIX sobre la que se comunican los clientes con el programa winbindd. Por motivos de seguridad, el cliente winbind sólo intenta conectar con el demonio winbindd si el directorio /tmp/.winbindd y /tmp/.winbindd/pipe son propiedad de root.
La tubería UNIX sobre la que se comunican los clientes 'privilegiados' con el programa winbindd program. Por motivos de seguridad, el acceso a ciertas funciones de winbindd, como aquéllas necesarias para la utilidad ntlm_auth, está restringida. De forma predeterminada, sólo los usuarios del grupo 'root' tendrán este acceso, sin embargo el administrador puede cambiar los permisos del grupo en $LOCKDIR/winbindd_privilaged para permitir a programas como 'squid' usar la validación ntlm_auth. Observe que los clientes winbind sólo intentan conectar cn el demonio winbindd si tanto el directorio $LOCKDIR/winbindd_privilaged como el fichero $LOCKDIR/winbindd_privilaged/pipe son propiedad del root.
Implementación de la biblitoeca name service switch.
Almacenamiento de las asociaciones de rid Windows NT rid con id de usuario/grupo to UNIX. El lock directory se especifica cuando se compila Samba con la opción --with-lockdir. El valor predeterminado de este directorio es /usr/local/samba/var/locks .
Almacenamiento de la información de cache de usuarios y grupos.
El sofware original Sambay utilidades relacionadas fue creado orignalmente por Andrew Tridgell. Samba ahora la desarrolla el Samba Team como un proyecto Open Source similar al desarrollo del núcleo Linux.
wbinfo y winbindd las escribió Tim Potter.
La conversión a DocBook para Samba 2.2 la hizoy Gerald Carter. The conversión a DocBook XML 4.2 para Samba 3.0 es obra de Alexander Bokovoy.