У меня есть файловый сервер Linux, настроенный предыдущим ИТ-отделом с разрешениями, установленными, чтобы позволить Джейн получить доступ к определенной папке с именем пользователя "jane"
В моем новом домене AD, который я ввел, имя каждого пользователя установлено как первое начальное, фамилия, поэтому ее имя пользователя в домене - "jdoe"
По причинам, которые я не хочу здесь вдаваться, я не могу просто добавить «jdoe» в качестве пользователя на файловом сервере.
Могу ли я установить для нее SamAccountName значение «jane» и оставить ее имя пользователя UPN для входа как «jdoe»? Сработает ли это, чтобы позволить ей войти в общий файловый ресурс Linux?
Самба имеет карта имени пользователя config, который можно использовать для указания списка удаленных имен пользователей, которые будут прозрачно сопоставлены с другим локальным именем пользователя.
Формат для этого в /etc/smb/samba.conf будет примерно таким:
[share]
...normal share optionsoptions
username map = /path/to/file
users = jane bob fred ... etc
И содержимое / путь / к / файлу должно быть:
jane = jdoe
Вы можете добавить в этот файл больше строк, включая цитируемые имена пользователей с пробелами, ссылки на целые группы и т. Д. Подробнее см. Ссылку на документацию выше.
Мой первоначальный ответ - это что-то вроде взлома, но для справки вот сделка с принудительными пользователями. Вы можете добавить пользователя в файл паролей samba, используя smbpasswd -a
без добавления их как пользователя системы unix. Затем вы можете аутентифицировать этих пользователей в общей папке samba. Вам не нужно добавлять их в список паролей системы unix, чтобы это работало, но, поскольку их пользователи не существуют, они не смогут использовать общий ресурс, потому что система приватности unix не позволит им писать и т. д. Чтобы исправить это, есть опция «принудительного пользователя», которую вы можете добавить к любому общему ресурсу, и все действия, предпринимаемые любым аутентифицированным пользователем на этом общем ресурсе, будут выполняться с использованием этого пользователя системы unix. Поэтому, если вы создаете общий ресурс для всех, создайте дубликат общего ресурса только для jdoe и добавьте force user = jane
в этот общий ресурс, даже когда jdoe аутентифицируется, они будут читать / записывать файлы в системе, используя пользователя jane unix.