Итак, у меня есть старый домен NT и новый домен Windows 2008 R2.
пока я переключаю людей со старого сервера на новый, у нас эта проблема.
у нас есть третий сервер (на котором запущена samba), который действует как файловый сервер / удаленное хранилище для моих пользователей.
что я могу сделать, чтобы сервер самбы позволял входить в систему людям из любого домена? Я уже пытался установить доверительные отношения между ними, но это не сработало. (не смог создать доверие)
Ваше доверие не удалось из-за комбинации Windows 2008 R2, считающей протоколы безопасности WinNT небезопасными, и функционального уровня леса, превышающего уровень совместимости с Server 2000. Поскольку это совершенно новый домен 2008r2, ваши функциональные возможности находятся на уровне Server 2008 R2. Насколько мне известно, вы не можете понизить их, поэтому вы застряли.
Samba может это сделать, но ответ будет некрасивым и небезопасным. Уловка заключается в том, чтобы позволить pam обрабатывать соединения Samba. Основным недостатком этого является то, что пароли передаются в открытом виде, что не разрешено в некоторых версиях Windows (новее XP) без явной настройки.
Вам нужно будет настроить winbind для взаимодействия с доменом NT, а затем использовать LDAP для поиска домена Active Directory. Затем установите pam_winbind и pam_ldap достаточными для входа в систему. И, наконец, настройте Samba на использование pam (директива «соблюдать ограничения pam»). Вы также должны убедиться, что учетные записи в домене NT удаляются после их миграции в домен 2008r2, иначе PAM может выбрать неправильную учетную запись для аутентификации. Как только вы закончите, вы можете правильно подключить Samba к домену 2008, отменить директивы pam, и пароли снова станут безопасными.
Это некрасиво, но может сработать.