Пользователи не могут получить доступ к ресурсам Samba AD
Мы перешли с сервера Samba типа 3.x NT и создали новый сервер AD с использованием SambaWiki, методично убедившись, что каждый шаг и тест работают правильно. Это нормально в режиме администратора или администратора домена, но никто из других пользователей не имеет доступа даже к своему домашнему каталогу. Рабочие станции Win7 и XP полностью присоединяются к домену. Пользователи могут войти в систему. У акций Smba нет доступа. Ниже представлен усеченный файл smb.conf, показывающий один общий ресурс «APP»
# Global parameters
[global]
workgroup = INT
realm = INT.JINGLES.COM
server role = active directory domain controller
security = USER
passdb backend = samba_dsdb
template homedir = /samba/home/%U
template shell = /bin/bash
dns forwarder = 8.8.8.8
rpc_server:tcpip = no
rpc_daemon:spoolssd = embedded
rpc_server:spoolss = embedded
rpc_server:winreg = embedded
rpc_server:ntsvcs = embedded
rpc_server:eventlog = embedded
rpc_server:srvsvc = embedded
rpc_server:svcctl = embedded
rpc_server:default = external
winbindd:use external pipes = true
idmap config * : backend = tdb
map archive = No
map readonly = no
store dos attributes = Yes
vfs objects = dfs_samba4 acl_xattr
[netlogon]
path = /var/lib/samba/sysvol/int.jingles.com/scripts
read only = No
[sysvol]
path = /var/lib/samba/sysvol
read only = No
[printers]
comment = All Printers
path = /var/spool/samba
printable = Yes
browseable = No
[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
write list = root @lpadmin
[app]
comment = "Applications"
path = /samba/app
read only = No
Разрешения установлены для SYSTEM, Domain Admins и JAM_valid_user (все сотрудники). Мой личный логин (знак) является членом из JAM_valid_user, но не могут получить доступ к ресурсу. Вот список ls, за которым следуют настройки ACL.
drwxrwx---+ 13 jamsysadmin INT\domain admins 4096 Aug 10 2015 app
«APP» ACL / Permissions
krb5.conf:
[libdefaults]
default_realm = INT.JINGLES.COM
dns_lookup_realm = false
dns_lookup_kdc = true
Я бит в убытке о том, как действовать дальше, я забивал на это неделю, и в настоящее время мне приходится отправлять всех сотрудников в группу «Администраторы домена» для доступа. Почему они не имеют доступа как члены группы JAM_valid_user?
Спасибо, --Mark
1 ответ
Случилось так, что один из моих компьютеров, совместно использующих папку, не имел опции «server string =». Эффект заключался в том, что попытка доступа к администратору папки в Windows побудила меня ввести пользователя и пароль (в активном каталоге), но всегда неуспешно.
Настройка этой опции устраняет проблему