Il existe deux domaines (forêt Active Directory-2019 différente), abc.com (domaine par défaut) et xyzde5.com (domaine de confiance), approbation entrante à sens unique vers xyzde5.com et approbation sortante de abc.com, nous pouvons connecter les utilisateurs du domaine par défaut (abc.com) dans le serveur SLES 15 SP2 Clint (abc.com). , mais impossible d'accéder aux utilisateurs de domaine approuvés (xyzde5.com) à partir du même serveur client SLES . Cependant, nous avons pu connecter des utilisateurs de confiance dans le système client Windows. seul problème dans les clients SLES.

Remarque : nous devons également utiliser l'UUID et le GID reflétés à partir d'Active Directory uniquement. (Avec le domaine par défaut, tout fonctionne correctement, un type de solution similaire à la recherche d'utilisateurs de domaine de confiance)

Avons-nous besoin d'ouvrir un numéro de port du membre de domaine par défaut SLES au domaine de confiance xyzde5.com ? et tout besoin de configuration supplémentaire pour que la connexion de l'utilisateur de confiance fonctionne ? s'il vous plaît des conseils à ce sujet! Merci d'avance!

Nous pourrions trouver le message d'erreur suivant dans le winbindd.log

message d'erreur : impossible de convertir sid S-1-5-21-1090010102-1892896508-1865459154-1106 : NT_STATUS_NO_SUCH_USER

ci-dessus correspondant au SID avec l'utilisateur de domaine de confiance.

Veuillez trouver la configuration Windind comme suit :

smb.conf`

[global]
workgroup = abc
realm = ABC.COM
usershare allow guests = YES
idmap config * : backend = tdb
idmap config * : range = 5000000-5999999
idmap config  ABC : backend = ad
idmap config  ABC : range = 10-9999
idmap config  ABC : schema_mode = rfc2307
idmap config  ABC : unix_nss_info = yes

idmap config  XYZDE5 : backend = ad
idmap config  XYZDE5 : range = 10000-19999
idmap config  XYZDE5 : schema_mode = rfc2307
idmap config  XYZDE5 : unix_nss_info = yes
kerberos method = secrets and keytab
security = ADS
template homedir = /home/%U
template shell = /bin/bash
winbind offline logon = yes
log file = /var/log/samba/%m.log
log level = 5
vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes

winbind use default domain = yes

winbind enum groups = yes
winbind nested groups = no
winbind expand groups = 2
winbind enum users = yes
winbind refresh tickets = yes
winbind separator = +
client use spnego = yes

krb5.conf

    includedir  /etc/krb5.conf.d
[libdefaults]
default_realm = abc.com
clockskew = 300
[realms]
abc.com = {
    kdc = adserver001.abc.com
    default_domain = abc.com
    admin_server = adserver001.abc.com
}
xyzde5.com = {
    kdc = trustad001.xyzde5.com
    admin_server = trustad001.xyzde5.com
}
[domain_realm]
abc.com = abc.com
.abc.com = abc.com
xyzde5.com = xyzde5.com
.xyzde5.com = xyzde5.com
[appdefaults]
pam = {
    ticket_lifetime = 1d
    renew_lifetime = 1d
    forwardable = true
    proxiable = false
    minimum_uid = 1
}
no answer