Назад | Перейти на главную страницу

Псевдоним для учетной записи AD?

У меня есть файловый сервер Linux, настроенный предыдущим ИТ-отделом с разрешениями, установленными, чтобы позволить Джейн получить доступ к определенной папке с именем пользователя "jane"

В моем новом домене AD, который я ввел, имя каждого пользователя установлено как первое начальное, фамилия, поэтому ее имя пользователя в домене - "jdoe"

По причинам, которые я не хочу здесь вдаваться, я не могу просто добавить «jdoe» в качестве пользователя на файловом сервере.

Могу ли я установить для нее SamAccountName значение «jane» и оставить ее имя пользователя UPN для входа как «jdoe»? Сработает ли это, чтобы позволить ей войти в общий файловый ресурс Linux?

Самба имеет карта имени пользователя config, который можно использовать для указания списка удаленных имен пользователей, которые будут прозрачно сопоставлены с другим локальным именем пользователя.

Формат для этого в /etc/smb/samba.conf будет примерно таким:

[share]
    ...normal share optionsoptions
    username map = /path/to/file
    users = jane bob fred ... etc

И содержимое / путь / к / файлу должно быть:

jane = jdoe

Вы можете добавить в этот файл больше строк, включая цитируемые имена пользователей с пробелами, ссылки на целые группы и т. Д. Подробнее см. Ссылку на документацию выше.

Мой первоначальный ответ - это что-то вроде взлома, но для справки вот сделка с принудительными пользователями. Вы можете добавить пользователя в файл паролей samba, используя smbpasswd -a без добавления их как пользователя системы unix. Затем вы можете аутентифицировать этих пользователей в общей папке samba. Вам не нужно добавлять их в список паролей системы unix, чтобы это работало, но, поскольку их пользователи не существуют, они не смогут использовать общий ресурс, потому что система приватности unix не позволит им писать и т. д. Чтобы исправить это, есть опция «принудительного пользователя», которую вы можете добавить к любому общему ресурсу, и все действия, предпринимаемые любым аутентифицированным пользователем на этом общем ресурсе, будут выполняться с использованием этого пользователя системы unix. Поэтому, если вы создаете общий ресурс для всех, создайте дубликат общего ресурса только для jdoe и добавьте force user = jane в этот общий ресурс, даже когда jdoe аутентифицируется, они будут читать / записывать файлы в системе, используя пользователя jane unix.