Править: Я пытался упростить вопрос:
========================================================================= Как я могу позволить локальному (Linux/самба) пользователь получить доступ к доле самбы (рядовой сервер) помимо AD пользователей, которые уже имеют доступ?
Проблема состоит в том, что моя самба всегда просит у DC аутентификацию пользователя и никогда не пытается аутентифицировать пользователя, использующего passwd/smbpasswd.
=========================================================================
Вот старый, долгий вопрос:
мне удалось настроить сервер Samba 4 на Ubuntu 18.04.
Мои шаги:
/etc/krb5.conf
[libdefaults]
default_realm = INTDOM.TLD
ticket_lifetime = 24h #
renew_lifetime = 7d
# The following krb5.conf variables are only for MIT Kerberos.
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
# The following libdefaults parameters are only for Heimdal Kerberos.
fcc-mit-ticketflags = true
[realms]
[domain_realm]
.intdom.tld = INTDOM.TLD
intdom.tld = INTDOM.TLD
У меня есть вопрос о понимании здесь: параметры "kdc_timesync, ccache_type, forwardable, proxiable, fcc-mit-ticketflags" необходимый или неблагоприятный здесь?
/etc/sssd/sssd.conf, режим 600
[sssd]
services = nss, pam
config_file_version = 2
domains = MC.DE
[domain/MC.DE]
id_provider = ad
access_provider = ad
# edit: this is actually not used
override_homedir = /home/%d/%u
# edit: I need this, performance not an issue in my env.
enumerate = true
/etc/nsswitch.conf
passwd: compat systemd sss
group: compat systemd sss
shadow: compat sss
gshadow: files
hosts: files dns
networks: files
protocols: db files
services: db files sss
ethers: db files
rpc: db files
netgroup: nis sss
sudoers: files sss
Доменное соединение с ´сетевой рекламой присоединяется,-U admin@INTDOM.TLD´ был успешен
Я настроил права на долях как этот (если Вы задаетесь вопросом, что группа имеет больше прав, чем пользователь, см. ´acl управление группы = запись ye в smb.conf ниже):
chown -R lu:@g_fileserver_rw@INTDOM.TLD /sambashare/One
chown -R lu:@g_fileserver_rw@INTDOM.TLD /sambashare/Two
chmod u-w,g+w,o-rwx /sambashare/One
chmod g+w,o-rwx /sambashare/Two
/etc/samba/smb.conf
[global]
workgroup = INTERNAL
# Entries recommended in Ubuntu-Wiki:
log level = 0
client signing = yes
client use spnego = yes
kerberos method = secrets and keytab
realm = INTDOM.TLD
security = ads
# End of Ubuntu-Wiki-entries
# My entries
restrict anonymous = 2
acl group control = yes
inherit acls = yes
inherit owner = yes
inherit permissions = yes
vfs objects = acl_xattr
deadtime = 15
store dos attributes = yes
domain master = no
local master = no
preferred master = no
os level = 0
idmap config * : backend = tdb
idmap config * : range = 1000-199999
idmap config MC.DE : backend = sss
idmap config MC.DE : range = 200000-2000200000
# End of my entries
server string = %h server (Samba, Ubuntu)
wins server = <WINS-Server IP Address>
dns proxy = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
server role = member server
passdb backend = tdbsam
obey pam restrictions = yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
map to guest = bad user
[One]
path = /sambashare/One
valid users = "lu", @g_fileserver_rw@INTDOM.TLD
create mask = 570
directory mask = 570
writeable = no
write list = @g_fileserver_rw@INTDOM.TLD
[Two]
path = /sambashare/Two
valid users = "lu", @g_fileserver_rw@INTDOM.TLD
create mask = 770
directory mask = 770
writeable = yes
В течение недели все работало нормальное, но теперь локальный пользователь "лютеций" больше не может получать доступ к долям. Пользователи домена могут обычно получать доступ к долям. Локальные права являются все еще тем же: ´drwxrwx---+´ на каталогах и ´-r-xrwx---+´ для lu:g_fileserver_rw@INTDOM.TLD.
Кто-то может сказать мне, как позволить локальному пользователю получить доступ к долям снова?
Ну, это был мой отказ. Конфигурация на самом деле работает, и она не прекратила работать после нескольких дней, но я был довольно немым для создания этого предположения, поскольку я видел проблемы с другими машинами. Это все еще работало над машинами, я протестировал его сначала.
Машины Windows, которые имели измененную политику безопасности (отличающийся от значения по умолчанию) не могли соединить использование локальной учетной записи.
Установка здесь:
Под "Параметрами безопасности" в secpol.msc:
"Сетевая безопасность: уровень аутентификации диспетчера локальной сети"
это начало работать, как только я установил его на:
"Отправьте ответ NTLMv2 только"
Я сожалею, что потратил впустую Ваше время.
Модификация может удалить мой вопрос и ответить на все вместе, если он рассматривает так.