Не может соединиться с рядовым сервером самбы как локальный пользователь спустя несколько дней после AD соединения и SSSD

Править: Я пытался упростить вопрос:

========================================================================= Как я могу позволить локальному (Linux/самба) пользователь получить доступ к доле самбы (рядовой сервер) помимо AD пользователей, которые уже имеют доступ?

Проблема состоит в том, что моя самба всегда просит у DC аутентификацию пользователя и никогда не пытается аутентифицировать пользователя, использующего passwd/smbpasswd.

=========================================================================

Вот старый, долгий вопрос:

мне удалось настроить сервер Samba 4 на Ubuntu 18.04.

Мои шаги:

  • Диск смонтирован с "user_xattr acl"
  • Имя хоста установлено на, например, myserver
  • ipv6 отключен
  • ipv4 статический IP установлен правильно с netplan
  • единственная запись в/etc/hosts является "127.0.0.1 localhost"
  • timesync настроен и работа
  • установленный: krb5-пользовательская самба sssd sssd-инструменты
  • созданный AD Группа (редактирование: на DC Windows Server 2008), например, g_fileserver_rw и соединил AD учетные записи с группой
  • /etc/krb5.conf

    [libdefaults]
       default_realm = INTDOM.TLD
       ticket_lifetime = 24h #
       renew_lifetime = 7d
    # The following krb5.conf variables are only for MIT Kerberos.
       kdc_timesync = 1
       ccache_type = 4
       forwardable = true
       proxiable = true
    # The following libdefaults parameters are only for Heimdal Kerberos.
       fcc-mit-ticketflags = true
    [realms]
    [domain_realm]
       .intdom.tld = INTDOM.TLD
       intdom.tld = INTDOM.TLD
    

    У меня есть вопрос о понимании здесь: параметры "kdc_timesync, ccache_type, forwardable, proxiable, fcc-mit-ticketflags" необходимый или неблагоприятный здесь?

  • /etc/sssd/sssd.conf, режим 600

    [sssd]
    services = nss, pam
    config_file_version = 2
    domains = MC.DE
    
    [domain/MC.DE]
    id_provider = ad
    access_provider = ad
    
    # edit: this is actually not used
    override_homedir = /home/%d/%u
    
    # edit: I need this, performance not an issue in my env.
    enumerate = true
    
  • /etc/nsswitch.conf

    passwd:         compat systemd sss
    group:          compat systemd sss
    shadow:         compat sss
    gshadow:        files
    
    hosts:          files dns
    networks:       files
    
    protocols:      db files
    services:       db files sss
    ethers:         db files
    rpc:            db files
    
    netgroup:       nis sss
    sudoers:        files sss
    
  • Доменное соединение с ´сетевой рекламой присоединяется,-U admin@INTDOM.TLD´ был успешен

  • ´getent passwd´ и ´getent группа´ перечисляют локальных пользователей и пользователей домена соответственно группы
  • Я добавил локального пользователя (например, лютеций) с этой командой: ´adduser - размещают/dev/null - окружают/bin/true - gecos "" лютеций´
  • затем я создал пользователя самбы с ´smbpasswd лютеций´ использование того же пароля
  • Я настроил права на долях как этот (если Вы задаетесь вопросом, что группа имеет больше прав, чем пользователь, см. ´acl управление группы = запись ye в smb.conf ниже):

    chown -R lu:@g_fileserver_rw@INTDOM.TLD /sambashare/One
    chown -R lu:@g_fileserver_rw@INTDOM.TLD /sambashare/Two
    chmod u-w,g+w,o-rwx /sambashare/One
    chmod g+w,o-rwx /sambashare/Two
    
  • /etc/samba/smb.conf

    [global]
       workgroup = INTERNAL
    # Entries recommended in Ubuntu-Wiki:
            log level = 0
            client signing = yes
            client use spnego = yes
            kerberos method = secrets and keytab
            realm = INTDOM.TLD
            security = ads
    # End of Ubuntu-Wiki-entries
    # My entries
    restrict anonymous = 2
    acl group control = yes
    inherit acls = yes
    inherit owner = yes
    inherit permissions = yes
    vfs objects = acl_xattr
    deadtime = 15
    store dos attributes = yes
    domain master = no
    local master = no
    preferred master = no
    os level = 0
    idmap config * : backend = tdb
    idmap config * : range = 1000-199999
    idmap config MC.DE : backend = sss
    idmap config MC.DE : range = 200000-2000200000
    # End of my entries
       server string = %h server (Samba, Ubuntu)
       wins server = <WINS-Server IP Address>
       dns proxy = no
       log file = /var/log/samba/log.%m
       max log size = 1000
       syslog = 0
       panic action = /usr/share/samba/panic-action %d
       server role = member server
       passdb backend = tdbsam
       obey pam restrictions = yes
       passwd program = /usr/bin/passwd %u
       passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
       map to guest = bad user
    [One]
            path = /sambashare/One
            valid users = "lu", @g_fileserver_rw@INTDOM.TLD
            create mask = 570
            directory mask = 570
            writeable = no
            write list = @g_fileserver_rw@INTDOM.TLD
    [Two]
            path = /sambashare/Two
            valid users = "lu", @g_fileserver_rw@INTDOM.TLD
            create mask = 770
            directory mask = 770
            writeable = yes
    

В течение недели все работало нормальное, но теперь локальный пользователь "лютеций" больше не может получать доступ к долям. Пользователи домена могут обычно получать доступ к долям. Локальные права являются все еще тем же: ´drwxrwx---+´ на каталогах и ´-r-xrwx---+´ для lu:g_fileserver_rw@INTDOM.TLD.

Кто-то может сказать мне, как позволить локальному пользователю получить доступ к долям снова?

0
задан 14 August 2018 в 16:54

1 ответ

Ну, это был мой отказ. Конфигурация на самом деле работает, и она не прекратила работать после нескольких дней, но я был довольно немым для создания этого предположения, поскольку я видел проблемы с другими машинами. Это все еще работало над машинами, я протестировал его сначала.

Машины Windows, которые имели измененную политику безопасности (отличающийся от значения по умолчанию) не могли соединить использование локальной учетной записи.

Установка здесь:

Под "Параметрами безопасности" в secpol.msc:

"Сетевая безопасность: уровень аутентификации диспетчера локальной сети"

это начало работать, как только я установил его на:

"Отправьте ответ NTLMv2 только"

Я сожалею, что потратил впустую Ваше время.

Модификация может удалить мой вопрос и ответить на все вместе, если он рассматривает так.

0
ответ дан 28 October 2019 в 04:32

Другие вопросы по тегам:

Похожие вопросы: