У нас есть сервер RHEL7, на котором работает Samba, на котором размещено приложение библиотеки мультимедиа. В этой системе заархивировано более 8 ТБ медиафайлов. Раньше (когда мы были на RHEL5) у нас была настроена Samba, позволяющая пользователям Windows подключать сетевые диски и загружать / скачивать / управлять медиафайлами, но у нас не было Winbind и мы не присоединялись к домену. Мы использовали аутентификацию LDAP, а наш AD использовал плагин POSIX AD для назначения UID / GID, домашнего каталога и т. Д.
Мы перешли на RHEL7 и смогли использовать Samba с sssd / ldap для аутентификации, по-прежнему без необходимости присоединяться к домену.
В какой-то момент обновление Samba сломало систему, и пользователи больше не могли подключать диски. После нескольких недель работы с поддержкой Red Hat они в конечном итоге использовали Samba, Winbind и sssd и заставили нас использовать «realm join» для присоединения к домену, и мы смогли наладить работу.
Спустя несколько месяцев это снова стало проблемой, и пользователи не могли подключиться. Снова работая с поддержкой Red Hat, и более чем через 2 недели мы все еще не можем заставить ее работать. Они начали с попытки прекратить использование sssd и использовать только Samba и Winbind, покинуть домен и снова присоединиться к нему. Оттуда я мог подключать диски из Windows и входить в систему через SSH, но Samba / Winbind не распознавал атрибуты пользователя POSIX, поэтому никто не мог получить доступ к файлам / каталогам, потому что UID / GID были разными.
В итоге мы вернулись к sssd и заставили его снова работать ... в течение нескольких дней. Теперь вернемся к тому же процессу, который использовался для того, чтобы все работало, но на этот раз ничего не работает. Не удается присоединиться к домену .... выйдите из домена и попробуйте снова присоединиться, и он говорит, что он уже присоединился. Службы не запускаются (sssd), и я могу получить доступ к серверу только через консоль и войти в систему как root.
Вот файлы конфигурации, которые кажутся подходящими ...
smb.conf
[global]
realm = DOMAIN.COM
workgroup = DOMAIN
security = ads
kerberos method = system keytab
idmap config * : backend = tdb
template homedir = /home/%U
idmap config * : range = 10000-199999
idmap config DOMAIN : backend = sss
idmap config DOMAIN : range = 10000-19999
passdb backend = tdbsam
load printers = no
[shared]
writeable = yes
path=/apps/shared
force group = <group>
create mask = 0000
directory mask = 0000
force create mode = 2664
force directory mode = 2775
valid users = @<group>
sssd.conf
[sssd]
services = nss, pam
config_file_version = 2
domains = domain.com
[nss]
filter_users = root
filter_groups = root
reconnection_retries = 3
[pam]
reconnection_retries = 3
offline_credentials_expiration = 2
offline_failed_login_attempts = 3
offline_failed_login_delay = 5
[domain/domain.com]
ad_domain = domain.com
krb5_realm = DOMAIN.COM
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = False
use_fully_qualified_names = False
fallback_homedir = /home/%u@%d
access_provider = ad
Любая помощь приветствуется, и если нужны другие файлы конфигурации, я могу обновить.
Спасибо!!