Общий ресурс Samba недоступен из Windows 7 (в домене) через имя хоста
Я потратил несколько дней, пытаясь решить эту проблему - ни один из ответов на этом форуме или любом другом не помог. Я перепробовал все. Я прочитал все руководство по Samba. Ничего не сработало.
К счастью, я решил это и хотел бы поделиться ответом с сообществом.
Вот моя конкретная проблема:
У меня Samba 3.6.3, работающая на Ubuntu Server 12.04. Сервер присоединен к домену моей компании с помощью PowerBroker Identity Services Open Edition (они также приобрели). Я следовал инструкции и настроил общий ресурс, используя разрешения группы AD. Он был доступен из Linux и Mac, используя разрешения AD. Из Windows 7 он был доступен только на компьютерах, не подключенных к домену. После присоединения к домену он был доступен только по короткому IP-имени хоста, а полное доменное имя отвечало бы ошибкой пароля.
1 ответ
Очевидно, что была проблема с групповой политикой безопасности в домене, но не было возможности изменить политику безопасности для одного сетевого ресурса. Основываясь на моих исследованиях, проблема была связана с тем, как AD создавала билеты Kerberos, а политика домена заключалась в том, чтобы использовать только Kerberos. Samba работает с NTMLv2, но Samba не была ответственна за аутентификацию - AD была, и PBIS был ответственен за то, чтобы это произошло.
Проблема была в том, что Samba не получила доступ к файлу keytab PBIS. Я решил, что введя это в smb.conf в [global]:
Kerberos method = dedicated keytab
dedicated keytab file = /etc/krb5.keytab
По умолчанию для Kerberos method является secrets only, который использует файл tdb для заявок - это не работает с PBIS. Вы должны указать Samba использовать только тот файл keytab, который использует PBIS. Как только я это сделал, аутентификация корректно работала с IP, коротким именем хоста и полным доменным именем.
Вы можете узнать, какой файл keytab используется PBIS, проверив файл krb5.conf (обычно /etc/krb5.conf) и проверив настройку default_keytab_name.
Для справки, вот мои smb.conf:
[global]
security = ADS
workgroup = DOMAIN
realm = DOMAIN.COM
machine password timeout = 0
server string = %h
local master = no
encrypt passwords = yes
Kerberos method = dedicated keytab
dedicated keytab file = /etc/krb5.keytab
deadtime = 20
log level = 20
debug pid = true
debug class = yes
log file = /var/log/samba-pbis.log
[test]
comment = test
path = /test
browseable = yes
read only = no
writeable = yes
valid users = @DOMAIN\user1 @DOMAIN\domain^users
admin users = @DOMAIN\domain^admins
guest ok = yes
create mask = 0774
directory mask = 0774
inherit acls = yes
inherit permissions = yes