Назад | Перейти на главную страницу

Требуется локальный пользователь для аутентификации Samba в AD?

У меня есть сервер CentOS 5.3 с запущенной Samba. Я присоединил этот сервер к своему домену в надежде предоставить пользователям AD некоторый доступ к моим общим ресурсам Samba. Я обнаружил, что это работает, но только до тех пор, пока имя пользователя AD, с которым я пытаюсь пройти аутентификацию, также локальный пользователь на сервере. Другими словами, если я пытаюсь получить доступ к общему ресурсу и пытаюсь аутентифицироваться с именем пользователя AD «joe», я получаю ошибки, если я не создаю пользователя с именем «joe» на сервере. Мне не нужно создавать соответствующий пароль или что-то еще ... пароль локального пользователя всегда пуст, поэтому я знаю, что аутентификация на самом деле происходит с AD.

Вот мой файл smb.conf:

[Глобальный]

    workgroup = <mydomain>
    server string = <snip>
    netbios name = HOME
    security = ADS
    realm = <mydomain.com>
    password server = <snip>
    auth methods = winbind
    log level = 1
    log file = /var/log/samba/%m.log

[amore] path = / var / www / amore browseable = yes Writable = yes допустимые пользователи = DOMAIN \ user1 DOMAIN \ user2 DOMAIN \ user3 DOMAIN \ user4

Я предполагаю, что мои настройки Kerberos в порядке, поскольку я присоединился к домену и могу использовать wbinfo для просмотра пользователей и групп. Однако при необходимости я могу предоставить эту информацию.

У кого-нибудь есть идеи?

По сути, Linux использует значения UID / GID в своей системе управления доступом, в то время как операционная система семейства Windows NT использует идентификаторы безопасности (SID) в своей системе управления доступом.

Windows Server 2003 R2 Active Directory вместе с «Службами для Unix» (которые предоставляют схему RFC2307bis) могут хранить значения UID / GID для каждого пользователя в каталоге, и Samba может использовать эти значения (или, как я читал, - Я никогда не пробовал, но несколько документов, которые я готов, говорят, что это работает хорошо).

Если вы не храните значения UID / GID в службе каталогов, вам понадобится механизм для детерминированного сопоставления этих двух разных систем идентификаторов. Функциональность «idmap» из «winbind» обычно используется для выполнения этого сопоставления. Ознакомьтесь со следующими статьями, чтобы получить представление о функциях: