Я настроил сервер Samba 3 как PDC с бэкэндом passdb LDAP.
SID сервера: S-1-5-21-3270 ... Домен: A
У каждого пользователя есть SambaSID, начинающийся с этого SID сервера. Но теперь я пытаюсь настроить второй сервер для некоторых общих ресурсов. Этот сервер должен использовать тот же бэкэнд LDAP, потому что я не хочу иметь два бэкэнда LDAP. В противном случае мне придется дважды вносить изменения (например, добавлять пользователей).
SID второго сервера: S-1-5-21-3797 ... Домен: B
Но теперь, когда пользователь пытается смонтировать этот новый общий ресурс, я вижу эту ошибку в журнале samba: sid домена основной группы (S-1-5-21-3797 ....) не соответствует sid домена (S-1- 5-21-3270 ...) для xxx (S-1-5-21-3270 ...).
Я понимаю проблему, но что я могу сделать, чтобы не поддерживать два серверных модуля LDAP?
С уважением, Саймон
Вы должны думать так, как если бы вы были в «настоящей» среде Windows. В такой среде, если вам нужно добавить больше серверов, вы не будете создавать новый домен для каждого из этих серверов. Здесь то же самое.
Сервер A указывает на бэкэнд LDAP со всеми пользователями и группами. Сервер обслуживает контроллер домена.
Итак, что вам нужно сделать, это настроить ваш второй сервер в качестве члена домена, обслуживаемого сервером A.
Вы будете управлять всеми своими пользователями и группами в одном LDAP, сервер A как контроллер домена будет выполнять всю аутентификацию для ваших пользователей. Сервер B будет обслуживать ваши общие ресурсы. А поскольку они оба находятся в одном домене, ваши пользователи смогут получить доступ к ресурсам на обоих серверах без необходимости устанавливать отношения доверия между доменами.
Это обычная настройка даже в «настоящей» настройке Windows Active Directory: разделение работы аутентификации и файловых служб.