Мы используем комбинацию Samba и WinBind, чтобы разрешить вход в AD на машине Ubuntu 12.04. Мы также используем Samba в качестве файлового сервера. Мы не хотим, чтобы общие файловые ресурсы Samba работали для учетных записей AD, а только для локальных учетных записей, которые мы указываем. В настоящее время, когда пользователь AD пытается просмотреть файлы через Samba, он может видеть все в нашем едином общем ресурсе. Однако когда они пытаются внести изменения, им отказывают. Это проблема номер один.
Проблема номер два заключается в том, что у нас есть локальный пользователь в ящике с тем же именем, что и пользователь AD, и, похоже, когда он входит в общий ресурс Samba, он использует учетную запись AD и не может записывать изменения в файловую систему вместо регистрации. в качестве локального пользователя.
Вот мой smb.conf:
[global]
workgroup = DOMAIN
server string = t-u12-dev1
netbios name = t-u12-dev1
dns proxy = no
password server = domainserver.com
realm = DOMAIN.COM
local master = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
wtmp directory = /var/log
utmp = yes
utmp directory = /var/run
security = ads
client ntlmv2 auth = yes
ntlm auth = no
guest account = nobody
restrict anonymous = 2
idmap backend = tdb
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
idmap config AD:backend = rid
idmap config AD:range = 100000-999999
template shell = /bin/bash
template homedir = /home/%D/%U
winbind separator = +
winbind use default domain = yes
winbind offline logon = true
winbind enum users = no
winbind enum groups = no
winbind refresh tickets = true
smb ports = 445
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
load printers = no
[sites]
writeable = yes
path = /sites
comment = $HOSTNAME
browseable = yes
guest ok = no
Если я сделаю sudo pdbedit -L -v, Я вижу только одну локальную учетную запись, для которой я хочу иметь доступ к общей папке Samba.
Что я могу изменить, чтобы мои логины AD продолжали работать, но не использовались для аутентификации общего файлового ресурса Samba?
Если вы не хотите, чтобы логины AD использовались для чего-либо, связанного с Samba, можете ли вы изменить режим безопасности Samba на разрешения уровня «пользователь» или даже «общий доступ»? Таким образом, вы можете использовать свои встроенные учетные записи для Samba, но сохранить данные AD для входа в систему. Или, может быть, я неправильно понял, о чем вы спрашиваете.
У меня есть локальные учетные записи на моих серверах, но я также использую AD для Samba. В конечном итоге я блокирую общие ресурсы до уровня группы с разрешениями AD, используя следующие параметры для общих ресурсов:
valid users = "+AD\Group Name"
force group = "+AD\Group Name"
Таким образом, другие пользователи не могут даже просматривать содержимое общих ресурсов. Кажется, это также учитывает и вложенные группы, поэтому мы можем управлять группами AD, входящими в другие группы, и таким образом быть очень детализированными в том, что мы открываем для пользователей.