Ein nachträgliches Verändern der xidNumber im Samba AD würde ich jetzt pauschal nicht empfehlen, wenn’s allerdings mal wirklich nötig ist dann hat sich der folgende Weg bei mir bewährt:
Vorhandene xidNumber vom User abfragen:
wbinfo -i username
Mit dem Ergebnis die SID des Users abfragen:
wbinfo -U xidNumber
Und anschließend in der idmap.ldb Datei den Eintrag mit der neuen xidNumber versehen – bei mir lag die idmap.ldb im Verzeichnis /var/lib/samba/private/
ldbedit -e vi -H idmap.ldb objectsid=S-1-5-21-798719937-1416451100-1523457936-4867
Das sieht dann wie folgt aus:
# editing 1 records
# record 1
dn: CN=S-1-5-21-798719937-1416451100-1523457936-4867
cn: S-1-5-21-798719937-1416451100-1523457936-4867
objectClass: sidMap
objectSid: S-1-5-21-798719937-1416451100-1523457936-4867
type: ID_TYPE_BOTH
xidNumber: 310157
distinguishedName: CN=S-1-5-21-798719937-1416451100-1523457936-4867
Nach dem setzen der xidNumber speichern und anschließend den Cache am Samba Server entleeren:
net cache flush
Jetzt sollte eine Abfrage des Users die korrekte xidNumber liefern…
wbinfo -i username
username:*:310157:300002:Test User:/srv/samba/home/username:/bin/false
Grund für dieses Vorgehen war dass Samba aus welchen Gründen auch immer die Änderungen im AD-Manager für RFC2307 Werte nicht korrekt übernommen hat. Nach dem Speichern waren sie für wenige Sekunden aktuell und wurden dann wie von Geisterhand wieder mit den alten Werten überschrieben.
Weder Serverneustart noch sonstige Versuche hatten hier geholfen, selbst den zweiten AD Controller aus der AD zu nehmen und komplett neu aufzusetzen hatte nichts gebracht. Erst das manuelle Ändern in der idmap.ldb Datei brachte hier Abhilfe!
Und woher kam der Fehler? Beim Umstellen der Domain von Samba 3 auf Samba 4 und Active Directory wurde der Parameter “ –use-rfc2307″ nicht gesetzt, daher keine Unix-ID’s. Damit aber alle AD Member Server mit den gleichen ID’s auf Linux Ebene arbeiten braucht es diese, also wurden sie nachträglich integriert und gesetzt.
Das hat soweit auch recht gut geklappt – bis auf eine Hand voll User bei denen das obige Problem auftrat.