Я начинаю вручную переносить свои серверы samba3 (или теперь samba4 classic) в новый домен samba4 AD. (Все новые серверы работают с v4.7.4.) Контроллеры домена работают нормально, и я тестирую свой первый рядовой сервер. Хорошо работает с доменом Windows 10 члены, но мы пока не будем добавлять всех клиентов в домен.
Наши старые сценарии входа в систему, которые сопоставляют диски, действительно создают проблемы сейчас, поскольку не члены домена пытаются войти в систему с "LOCALCOMPUTER \ username", пароли, конечно же, те же.
Для своего старого PDC samba 3 я успешно использовал map untrusted to domain = yes чтобы решить эту проблему. Я сейчас использую новый по умолчанию auto, который будет единственным значением в 4.8, насколько я понимаю, и, похоже, он не работает так, как мне нужно. AFAIU рядовой сервер должен делегировать решение DC, который, если он неизвестен, должен выполнить локальную аутентификацию. Я не уверен, что такое «локальный» (это AD или сервер?), Но здесь это не работает.
По умолчанию и с ненадежной картой для domain = auto smbd отложит решение о том, является ли доменное имя, предоставленное клиентом, допустимым именем домена, Контроллеру домена (DC) домена, членом которого он является, если это не ОКРУГ КОЛУМБИЯ. Если DC указывает, что часть домена неизвестна, то выполняется локальная аутентификация. (man smb.conf v4.7.4)
Короче говоря, есть ли простое решение для сопоставления всех неизвестных доменов с BSS \ user? Поскольку у меня не более одного домена, я даже не возражаю против всего картировать.
DC smb.conf довольно стандартный (без netlogon / sysvol):
[global]
workgroup = BSS
realm = BSS.FQDN.EXAMPLE.COM
netbios name = BARVA
server role = active directory domain controller
dns forwarder = 1.2.3.4
idmap_ldb:use rfc2307 = yes
time server = yes
Членский (файловый) сервер, без определения общих ресурсов:
[global]
workgroup = BSS
realm = BSS.FQDN.EXAMPLE.COM
security = ADS
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
winbind refresh tickets = yes
winbind nss info = template
template shell = /bin/false
template homedir = /srv/samba/homes/%U
#
https://wiki.samba.org/index.php/Idmap_config_rid#Planning_the_ID_Ranges
# Default idmap config for local BUILTIN accounts and groups
idmap config * : backend = tdb
idmap config * : range = 3000-7999
# idmap config for the domain
idmap config BSS : backend = rid
idmap config BSS : range = 10000-999999
store dos attributes = yes
vfs objects = acl_xattr
inherit acls = yes
map acl inherit = yes
Заранее спасибо, Якоб