Я пытаюсь установить сервер samba для активной аутентификации каталогов и общих ресурсов.
Мне удалось настроить kerberos (работает kinit klist), который я настроил smb.conf
.
wbinfo -u<br>
wbinfo -g<br>
getent group *showing all domain groups)<br>
getent users (showing all domain users)<br>
net join was successful
Модификация nsswitch
и common-session
тоже сработала. Я могу войти в систему, используя учетные данные AD, локально и через ssh. Даже добавление группы администраторов домена в sudoer сработало. Поэтому я предполагаю, что аутентификация настроена правильно.
Теперь я хотел создать акцию. Один с [домами] и один с доступом для группы AD.
Если я сейчас подключусь к общему ресурсу с компьютера win7, мне будет предложено ввести имя пользователя / пароль. Если я ввожу данные из начальной локальной учетной записи, которая была создана в процессе установки, я вижу обе папки. Общедоступный и домашний каталог локального пользователя.
Если я использую учетные данные AD, мне будет отказано в доступе.
Я даже пытался включить гостевой доступ и деактивировать любой контроль доступа. Но ничего не меняется. Локальный пользователь может подключиться, но пользователь AD даже не видит общие ресурсы.
Если я включаю протоколирование уровня 10, я вижу, что компьютер пытается аутентифицироваться, но не удается.
Чего мне не хватает?
[Обновление]
Я нашел проблему. Я не очень понимаю, почему это вызвало такой эффект, но сейчас доля работает почти так, как я хочу.
Я использовал
idmap uid = 10000-20000<br>
idmap gid = 10000-20000
из учебника на http://wiki.ubuntuusers.de/Samba_Winbind Я не думал, что предупреждение о том, что эти строки устарели, будет вызвать проблемы, так как амортизация обычно означает все еще поддерживается Это верно для локального входа. Но акции ломаются. Я заменил эти две строки на
idmap config * : range = 10000-20000
, и теперь доля работает.
Осталась только одна проблема: для подключения к общему ресурсу [homes] мне нужно использовать COMPUTERNAME \ USERNAME, но я хотел, чтобы дома работали с DOMAIN \ USERNAME?
Если кто-нибудь знает, как это изменить я был бы признателен, но поскольку я могу просто использовать обычный домашний ресурс с подкаталогом username, я не считаю это реальной проблемой.
Ответ user305136 взят от вопроса:
Иногда Вы спрашиваете и находите решение на следующий день. В случае кто-то испытывает те же затруднения, как я имел, вот мои файлы конфигурации, это теперь работает. Я заменил Windowsserver СЕРВЕРОМ и домен с DOMAIN.LOCAL
krb5.conf: [logging] default = FILE:/var/log/krb5.log [libdefaults] ticket_lifetime = 24000 clock_skew = 300 default_realm = DOMAIN.LOCAL dns_lookup_realm = true dns_lookup_kdc = true [realms] DOMAIN.LOCAL = { kdc = SERVER.DOMAIN.LOCAL:88 admin_server = SERVER.DOMAIN.LOCAL default_domain = DOMAIN.LOCAL } [domain_realm] .domain.local = DOMAIN.LOCAL domain.local = DOMAIN.LOCAL .DOMAIN.LOCAL = DOMAIN.LOCAL DOMAIN.LOCAL = DOMAIN.LOCAL smb.conf: [global] security = ADS realm = DOMAIN.LOCAL workgroup = DOMAIN idmap config * : range = 10000-20000 server string = Linuxserver winbind enum users = yes winbind enum groups = yes winbind cache time = 10 winbind use default domain = yes winbind nested groups = yes template homedir = /home/%U template shell = /bin/bash client use spnego = yes ntlm auth = yes lanman auth = no client ntlmv2 auth = yes encrypt passwords = yes restrict anonymous = 2 domain master = no local master = no preferred master = no os level = 0 map to guest = bad user guest account = nobody unix extensions = yes valid users = @domänen-benutzer [homes] comment = Userdirectory browseable = no valid users = %S, DOMAIN.LOCAL\%S writeable = yes create mode = 0600 directory mode = 0700 [home] comment = Userdata path = /data/home/%U browsable = no valid users = %U writeable = yes create mode = 0600 directory mode = 0700 [Data] comment = Data path = /data/H writeable = yes valid users = @domänen-benutzer create mode = 0660 directory mode = 770
Это работает теперь.