Назад | Перейти на главную страницу

Возможно ли / целесообразно ли установить общий доступ SAMBA между доменами?

Я понимаю, что этот вопрос, скорее всего, окажется довольно сложным и потребует подробного описания. Точно так же, вероятно, не будет короткого простого ответа.

У меня есть большое хранилище данных (SAN), которое доступно нескольким пользователям в одном домене через сервер Samba (в настоящее время версия 3.6.x). SAN и сервер находятся в отдельном домене / среде.

Дело в том, что пользователи тоже работают в другом домене, и я хотел бы расширить доступ к ресурсу на этот второй домен.

Предложенное решение

Моя первоначальная идея о том, как достичь цели предоставления доступа к общему ресурсу SAMBA во втором домене, заключается в следующем:

Файловая система, являющаяся общим ресурсом SAMBA, сначала «предоставляется» локальному серверу во втором домене через NFS. Вы можете задаться вопросом, почему это происходит, потому что между первым сервером SAMBA и вторым доменом существует большое географическое / сетевое расстояние, поэтому это в основном связано с соображениями производительности.

Как только сервер во втором домене получит общий ресурс SAMBA через NFS, он будет действовать как сервер SAMBA и распределять общий ресурс среди пользователей их клиентов.

вопросы

Я думаю, что основная проблема здесь будет заключаться в учетных записях пользователей, владении, разрешениях и тому подобном в файловой системе общего ресурса SAMBA.

Учетные записи пользователей в этих двух доменах не связаны между собой, по сути, у них нет ничего общего.

В настоящее время аутентификация установлена ​​на security = User на сервере самбы аутентификация и доступ осуществляется с помощью локальной учетной записи на сервере. Раньше аутентификация выполнялась для AD-сервера в первом домене, но мы столкнулись с некоторыми проблемами и перешли на локальные учетные записи.

Файловая система, которая является общим ресурсом samba, в основном настроена так, что существует ряд общих общих папок с владельцем nobody:usergroup и личные папки с собственностью <user>:usergroup. (Каждый пользователь является членом usergroup)

Я склоняюсь к тому, чтобы полагаться на локальную учетную запись вместо использования Active Directory, потому что это небольшая группа людей, и похоже, что это могло бы немного упростить ситуацию. В этом случае все, что нужно будет сделать, это синхронизировать учетные записи между двумя серверами.

Как вы думаете, это вообще возможно? Видите ли вы какие-либо серьезные проблемы, которые могут возникнуть при такой настройке?

Создайте лес с членами обоих доменов

  1. Универсальные группы:

    • ВХОД ЧЛЕНА: Пользователи, учетные записи компьютеров, глобальные группы и универсальные группы С ЛЮБОГО ДОМЕНА
    • РАЗРЕШЕНИЯ: В любом домене универсальные группы могут быть добавлены в другие группы и предоставлены разрешения.

  2. Глобальные группы:

    • ЧЛЕНСКОЕ ВКЛЮЧЕНИЕ: Любой пользователь или компьютер или другие глобальные группы из того же домена
    • РАЗРЕШЕНИЯ: Глобальные группы могут быть добавлены в другие глобальные группы в любом домене леса и с назначенными разрешениями.

  3. Локальные группы домена:

    • ЧЛЕНСКИЙ ВКЛЮЧЕНИЕ: То же, что и универсальные группы, но вы также можете включать локальные группы домена из того же домена.
    • РАЗРЕШЕНИЕ: Любые доменные группы могут быть добавлены только в другие локальные группы домена в том же домене и с назначенными разрешениями.

РЕДАКТИРОВАТЬ: Я думал, что вы говорили со всей Microsoft, и теперь вы, вероятно, работаете в Linux, когда я вижу общий ресурс Samba. Возможно, я просто запуталась. Я студентка, извините, если это бесполезно.