У меня есть существующий сервер Ubuntu. Пользователи уже подписываются в него с AD учетными данными. Проблема состоит в том, что существует смонтированная доля файла - в среде Windows, у пользователей только есть доступ к папкам, для которых у них есть разрешение. На сервере Ubuntu к папке получают доступ с общей универсальной учетной записью, учетными данными для того сохраненного в скрытом файле в/etc/smbmounts. Для меня определяют задачу с созданием его так, чтобы к папкам получили доступ с теми же AD учетными данными, в которые пользователь раньше входил к компьютеру во-первых. Это - сводка проблемы, специфических особенностей ниже:
Вот установка:
/etc/krb5.conf похож на это:
[libdefaults]
default_realm = DOMAIN.NAME
ticket_lifetime = 24h #
renew_lifetime = 7d
/etc/samba/smb.conf похож на это:
[global]
workgroup = DOMAIN
client signing = yes
client use spnego = yes
kerberos method = secrets and keytab
realm = DOMAIN.NAME
security = ads
server signing = mandatory
/etc/sssd/sssd.conf:
[sssd]
domains = DOMAIN.name
config_file_version = 2
services = nss, pam
debug_level = 5
[domain/DOMAIN.name]
ad_domain = DOMAIN.name
krb5_realm = DOMAIN.NAME
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/domain/%u
#access_provider = ad
#ad_access_filter = (memberOf=cn=Linux Login Allowed,ou=Domain Groups,dc=Domain,dc=local
access_provider = simple
simple_allow_users = administrator
simple_allow_groups = Domain Admins, Linux Login Allowed
enumerate = true
Для sssd полномочий:
sudo chown root:root /etc/sssd/sssd.conf
sudo chmod 600 /etc/sssd/sssd.conf
Соедините с доменом:
sudo kinit [insert domain admin username here]
sudo klist
sudo net ads join –k
Мы использовали PAM для монтирования папки Windows:
<debug enable="0" />
<!-- Volume definitions -->
<volume sgrp="Linux Login Allowed" fstype="cifs" server="fileshare" path="files/userdata/%(USER)/Documents/linux_home" mountpoint="/home/DOMAIN/%(USER)" options="dir_mode=0700,sec=ntlm"/>
<!-- pam_mount parameters: General tunables -->
<logout wait="5000" hup="1" term="2" kill="3" />
/etc/fstab:
//fileshare/folder /folder cifs credentials=/etc/smbmounts/.folder,gid=1003,iocharset=utf8,file_mode=0770,dir_mode=0770,sec=ntlm 0 0
Я включал все, что я мог думать об имении отношение к этой установке для полного раскрытия, но быть ясной проблемой не является с PAM домашнее монтирование папки. Именно с fstab-//fileshare/folder является совместно используемой папкой с полномочиями NTFS, которая досаждает мне.
Я думаю, что было бы предпочтительно, если бы я не переворачивал вверх ногами существующую установку очень для полномочий папки.
Идеально, я хотел бы изменить fstab для поиска учетных данных от начальной буквы Samba/SSSD/Kerberos установка для AD аутентификации и входа в систему, а не smbmounts файла, который содержит общее имя пользователя/пароль. Если возможно, единая точка входа. Это может быть это простое, и если так, какое изменение должно быть внесено?
Я ценю любую справку, все еще довольно в новинку для Linux в целом.
Сообщите мне, должна ли еще информация быть добавлена/удалена для создания этой темы более краткой.
Спасибо за всю справку, всех! Я нашел ответ в этой ссылке, лучшем сообщении ответа: https://community.spiceworks.com/topic/484483-mounting-windows-shares-on-lubuntu
PBIS не потребовался, чтобы соединять с доменом или получать аутентификацию, это работало без него.