Настройка Samba для доступа к домену Windows
Предыстория:
Я настраиваю коробку Linux для местной бухгалтерии. Целью этого ящика является уменьшение угрозы вирусов, которые имеют доступ к сети через USB-накопители. Пожалуйста, имейте в виду, что этот офис нуждается в максимальной безопасности. Моя конфигурация пытается использовать Samba, чтобы разрешить членам уже настроенного (и очень защищенного) Windows 2008 Server получить доступ к общему ресурсу Samba. Я добавил имя пользователя каждого из людей, которым необходим доступ к системе Linux, в систему, но я не добавил пароли, так как пароли на Windows Server требуется менять довольно часто. Следует избегать попыток управления базой паролей на Linux-компьютере, если это вообще возможно.
Требования:
- Не требуется аутентификация по паролю для зарегистрированных пользователей Windows для доступа к общему ресурсу Samba.
- Как можно меньше манипулировать текущими политиками безопасности Windows.
- Все пользователи, имеющие доступ к общему ресурсу, должны иметь полные разрешения на чтение и запись (выполнять НЕ обязательно).
Проблема:
В настоящее время все попытки подключиться к серверу Samba неаутентифицированными пользователями встречаются с ошибкой на стороне Windows, говорящей «Доступ к ресурсу {insert IP address} запрещен «. Samba работает со следующим файлом smb.conf, который я создал с нуля:
[global]
workgroup = {Windows Domain Name}
server string = Removable Media Server
security = share
[media]
path = /media
writable = yes
browsable = yes
guest ok = yes
guest only = yes
force directory mode = 0666
force create mode = 0666
Версия Samba - 3.6.9. Команда Samba testparm не возвращает ошибок. Я всегда перезапускал сервер Samba после внесения изменений в конфигурацию Samba.
Что я пробовал:
В smb.conf:
- Настройка безопасности для пользователя.
- И почти во всех ситуациях, с которыми я сталкивался.
Другие примечания:
Общий ресурс Samba IS виден доменом Windows и фактически доступен из сеанса администратора Windows.
Еще одна вещь: я очень новичок в Самбе, поэтому, пожалуйста, потерпите меня.
2 ответа
Я решил свою проблему сегодня, и ответ не имел ничего общего с разрешениями на samba или даже с Linux в целом ($ # @! $ # @! ~ WINDOWS!).
Windows имеет особую причуду, в которой она НЕ позволит ни одному пользователю выполнять поиск в сети по IP, если у пользователя нет разрешения на использование командной строки (для поиска понадобилось около 100 поисков в Google, без шуток) , После исправления разрешений группы для включения командной строки для всех пользователей, для которых она была отключена, вся установка работала как сон. :)
Ну, первое, что я собирался предложить, это установить:
security = domain
Но потом я увидел это в главе документа Samba о членстве в домене:
В настоящее время Безопасность домена в Samba не освобождает вас от необходимости создавать локальных пользователей UNIX для представления пользователей, подключающихся к вашему серверу. Это означает, что если пользователь домена DOM \ fred подключается к серверу Samba безопасности домена, то должен быть локальный пользователь UNIX fred для представления этого пользователя в файловой системе UNIX.
Реально ли настроить учетную запись для каждого пользователя, который будет подключаться?
Я никогда не настраивал общий ресурс Samba в домене Windows, но вот ссылка на документ Samba о доменном статусе, который я цитировал выше: членство в домене Samba
Посмотрите на документ, и, возможно, он поможет вам с тем, что вам нужно сделать.