Я использую AIX 7.1, и в настоящее время на сервере установлена samba 3.6.25. В настоящее время некоторые папки AIX являются общими, к которым могут получить доступ определенные пользователи Windows. Kerberos в настоящее время не установлен на сервере.
Проблема в том, что с Windows 10 гостевая функция больше не работает, поэтому пользователям приходится вручную вводить логин / пароль Windows, прежде чем они смогут получить доступ к общим дискам. Они получают всплывающее окно с просьбой войти в систему. Ранее пользователи могли подключаться к общим файловым ресурсам AIX без необходимости вводить имя пользователя и пароли.
Мое требование: мне нужно перенастроить самбу, чтобы небольшая группа пользователей Windows в определенной группе в Active Directory могла получить доступ к этим общим папкам в AIX без необходимости вводить свои логин и пароль. Samba должна распознать пользователя, которого в данный момент вошли в систему, как в Active Directory и разрешить ему доступ к папке, если он является членом соответствующей группы доступа.
Мой текущий файл smb.conf выглядит следующим образом:
рабочая группа = домен выигрывает поддержку = да безопасность = файл журнала пользователя = /var/log/samba.log протокол = SMB2
min protocol = SMB2 ## Это нужно было добавить, чтобы компьютеры с Windows 10 могли получить доступ к общему ресурсу, поскольку SMB1 не поддерживается
[Общий доступ к файлу] путь = / filetoshare / здесь принудительно пользователь = root только для чтения = нет общедоступный = да гость ok = нет
Из своего первоначального исследования я понял, что мне нужно изменить безопасность с пользователя на ADS, установив security = ADS. Это позволило бы мне использовать Active Directory для аутентификации пользователей. К сожалению, после проверки журналов nmbd кажется, что этот параметр не распознается этой версией Samba 3.6 ...
WARNING: Ignoring invalid value 'ADS' for parameter 'security'
Ignoring unknown parameter "realm"
Возможно, Samba 3.6 не поддерживает ADS. В этом случае есть ли у меня какие-либо другие параметры Samba 3.6, которые позволили бы мне пройти аутентификацию в домене Windows, работающем на Windows Server 2012? Я вижу, есть также настройка сервера домена - server = domain. Я так понимаю, что имя машины AIX нужно добавить на сервер Active Directory на машинах, которые я полагаю?
Когда я смотрел на добавление Samba в домены, там была ссылка на команду "net ads -u Username", я получаю другую ошибку.
ADS support not compiled in
Полагаю, это означает, что я также не могу использовать параметр домена, который предполагает, что мне нужна более новая версия Samba.
Я проверил множество форумов по AIX, но не смог найти предварительно скомпилированную версию samba 4 для AIX 7.1. Это был бы самый безопасный способ обновления. К сожалению, на этом компьютере с AIX не установлены GCC, WGET, YUM, поэтому его будет сложно скомпилировать из исходного кода. Если бы это был Ubuntu, я бы просто запустил apt-get install samba, но AIX - другой зверь. Также может кто-нибудь подтвердить, нужно ли мне также установить Kerberos, чтобы это работало?
Мне было бы интересно услышать, работает ли это у кого-нибудь. Будем признательны за любые предложения по помощи в этом проекте. Спасибо.
Мне удалось решить эту проблему несколько месяцев назад с помощью
1) Обновлен RPM до последней версии, поскольку я обнаружил, что текущая версия RPM не позволяет мне устанавливать необходимые пакеты RPM
Перейдите к ftp://public.dhe.ibm.com/aix/freeSoftware/aixtoolbox/INSTALLP/ppc/ и скачиваем rpm.rte
Запускаем smit и устанавливаем через меню установки ПО
2) Скачал пакет YUM
Загрузите пакет YUM из следующего места https://public.dhe.ibm.com/aix/freeSoftware/aixtoolbox/ezinstall/ppc/yum_bundle.tar
Запускаем smit и устанавливаем через меню установки ПО
После установки yum мне удалось установить Samba и другое необходимое программное обеспечение, как показано ниже.
yum install samba.ppc krb5-server.ppc krb5-workstation samba-winbind-krb5-locator.ppc samba-winbind-devel.ppc libsmbclient-devel.ppc openldap-devel.ppc samba-winbind.ppc samba-winbind-clients. ppc samba-libs.ppc
Теперь переместите библиотеку WINBIND в нужную папку
mv /opt/freeware/lib/WINBIND.so / usr / lib / security cd / usr / lib / security mv WINDBIND.so WINBIND chown root: security WINBIND
Kerberos
1) kinit, используя мое текущее имя пользователя Windows, под которым я вхожу в домен. Изначально у меня были проблемы с синхронизацией времени (истекло время просмотра). Чтобы решить эту проблему, я настроил демон ntp, указывающий ему на сервер домена, и принудительно синхронизировал время. После этого команда сработала, и я сгенерировал ключ Kerberos.
2) net ads join -U, используя мое текущее имя пользователя Windows, с которым я вхожу в домен.
Обе эти команды работали, поэтому я присоединился к домену Windows.
На этом этапе я выполнил несколько тестовых команд:
wbinfo --ping-dc - Успешный результат.
wbinfo -g - возвращает список всех групп домена на контроллере домена wbinfo -u - возвращает список в unix всех имен пользователей Windows на контроллере домена
Файлы конфигурации
SAMBA.CONF Код: строка сервера = "IBM AIX Server" файл журнала = /var/log/samba.log passdb backend = tdbsam idmap config *: backend = tdb idmap config *: range = 1000-9999 idmap config УТИЛИТА: backend = УТИЛИТА ad idmap config: schema_mode = rfc2307 idmap config UTILITY: range = 10000-10099
log level = 3 netbios name = AIXBOX workgroup = ROBOT usershare allow guest = yes domain master = no local master = no password server = * realm = ROBOT.LOCAL security = ADS encrypt passwords = yes template shell = / usr / bin / bash interfaces = en0 winbind использовать домен по умолчанию = да клиент использует spnego = нет
[testshare] path = / home / share только для чтения = нет с возможностью записи = да гость ok = да public = yes browseable = да допустимые пользователи = @ "компьютеры домена"
[test] path = / buuk browseable = yes valid users = my_windows_user_name
METHODS.CONF Код: WINBIND: program = / usr / lib / security / WINBIND
NIS: программа = / usr / lib / security / NIS program_64 = / usr / lib / security / NIS_64
DCE: program = / usr / lib / security / DCE (НЕ СУЩЕСТВУЕТ В МОЕЙ СИСТЕМЕ AIX)
KRB5A: программа = / usr / lib / security / KRB5A options = authonly
KRB5files: options = db = BUILTIN, auth = KRB5A
KRB5.CONF
Код: [ведение журнала] по умолчанию = ФАЙЛ: /var/log/krb5libs.log kdc = ФАЙЛ: /var/log/krb5kdc.log admin_server = ФАЙЛ: /var/log/kadmind.log
[libdefaults] default_realm = ROBOT.LOCAL default_keytab_name = FILE: /etc/krb5.keytab dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h Renov_lifetime = 7d forwardable = true
[области] ROBOT.LOCAL = {kdc = KDC.ROBOT.LOCAL default_domain = ROBOT.LOCAL}
Надеюсь это поможет.
Используйте репозиторий AIX Toolbox, чтобы загрузить последнюю доступную версию SMB для AIX.
Ссылки по теме:https://www.ibm.com/developerworks/community/forums/html/topic?id=97038d17-97b7-4304-a5a5-4d5b81266c5e
Используйте yum.sh (упомянутый в ссылке), чтобы установить yum на свой AIX, если он еще не установлен, и используйте его для простого обновления всех ваших пакетов из официального репозитория.