AD 用户无法访问 Samba 共享

tag-icon tag-icon windows-7 samba shared-folders kerberos
AD 用户无法访问 Samba 共享

我尝试安装一个 Samba 服务器用于活动目录身份验证和共享。

我设法配置了 kerberos(kinit klist 有效)我配置了smb.conf

wbinfo -u<br>
wbinfo -g<br>
getent group *showing all domain groups)<br>
getent users (showing all domain users)<br>
net join was successful

修改nsswitch后也common-session确实有效。我可以使用 AD 凭据在本地和通过 ssh 登录到计算机。甚至将域管理员组添加到 sudoer 也有效。因此我认为身份验证配置正确。

我现在想创建一个共享。一个具有 [homes],另一个具有 AD 组的访问权限。

如果我现在从 win7 计算机连接到共享,系统会提示我输入用户名/密码。如果我输入在安装过程中创建的初始本地帐户的数据,我会看到两个共享。公共共享和本地用户的主目录。

如果我使用 AD 凭据,则访问只会被拒绝。

我甚至尝试启用访客访问并停用任何访问控制。但什么都没有改变。本地用户可以连接,但 AD 用户甚至看不到共享。

如果我启用日志记录级别 10,我会看到计算机正在尝试进行身份验证,但失败了。

我错过了什么?

[更新]
我找到了问题。我不太明白为什么会导致这种影响,但现在共享几乎按我想要的方式运行。

我确实用过

idmap uid = 10000-20000<br>
idmap gid = 10000-20000

来自教程http://wiki.ubuntuusers.de/Samba_Winbind 我不认为这些行已被弃用的警告会导致问题,因为弃用通常意味着仍然受支持。对于本地登录来说确实如此。但共享被破坏了。我用以下代码替换了这两行

idmap config * : range = 10000-20000

现在共享已正常运行。

唯一剩下的问题是,为了连接到 [homes] 共享,我需要使用 COMPUTERNAME\USERNAME,但我希望 homes 能够与 DOMAIN\USERNAME 一起使用?

如果有人知道如何改变这一点,我将不胜感激,但由于我只能使用带有用户名子目录的普通家庭共享,所以我不认为这是一个真正的问题。

答案1

用户 305136 的回答取自以下问题:

有时你会在第二天询问并找到解决方案。如果有人遇到与我相同的问题,以下是我的配置文件,现在可以正常工作。我用 SERVER 替换了 Windowsserver,用 DOMAIN.LOCAL 替换了域

krb5.conf:
[logging]
default = FILE:/var/log/krb5.log
[libdefaults]
ticket_lifetime = 24000
clock_skew = 300
default_realm = DOMAIN.LOCAL
dns_lookup_realm = true
dns_lookup_kdc = true

[realms]
DOMAIN.LOCAL = {
kdc = SERVER.DOMAIN.LOCAL:88
admin_server = SERVER.DOMAIN.LOCAL
default_domain = DOMAIN.LOCAL
}

[domain_realm]
.domain.local = DOMAIN.LOCAL
domain.local = DOMAIN.LOCAL
.DOMAIN.LOCAL = DOMAIN.LOCAL
DOMAIN.LOCAL = DOMAIN.LOCAL

smb.conf:
[global]
security = ADS
realm = DOMAIN.LOCAL
workgroup = DOMAIN
idmap config * : range = 10000-20000
server string = Linuxserver
winbind enum users = yes
winbind enum groups = yes
winbind cache time = 10
winbind use default domain = yes
winbind nested groups = yes
template homedir = /home/%U
template shell = /bin/bash
client use spnego = yes
ntlm auth = yes
lanman auth = no
client ntlmv2 auth = yes
encrypt passwords = yes
restrict anonymous = 2
domain master = no
local master = no
preferred master = no
os level = 0
map to guest = bad user
guest account = nobody
unix extensions = yes
valid users = @domänen-benutzer
[homes]
comment = Userdirectory
browseable = no
valid users = %S, DOMAIN.LOCAL\%S
writeable = yes
create mode = 0600
directory mode = 0700
[home]
comment = Userdata
path = /data/home/%U
browsable = no
valid users = %U
writeable = yes
create mode = 0600
directory mode = 0700
[Data]
comment = Data
path = /data/H
writeable = yes
valid users = @domänen-benutzer
create mode = 0660
directory mode = 770

它现在正在工作。

相关内容