我尝试安装一个 Samba 服务器用于活动目录身份验证和共享。
我设法配置了 kerberos(kinit klist 有效)我配置了smb.conf
。
wbinfo -u<br>
wbinfo -g<br>
getent group *showing all domain groups)<br>
getent users (showing all domain users)<br>
net join was successful
修改nsswitch
后也common-session
确实有效。我可以使用 AD 凭据在本地和通过 ssh 登录到计算机。甚至将域管理员组添加到 sudoer 也有效。因此我认为身份验证配置正确。
我现在想创建一个共享。一个具有 [homes],另一个具有 AD 组的访问权限。
如果我现在从 win7 计算机连接到共享,系统会提示我输入用户名/密码。如果我输入在安装过程中创建的初始本地帐户的数据,我会看到两个共享。公共共享和本地用户的主目录。
如果我使用 AD 凭据,则访问只会被拒绝。
我甚至尝试启用访客访问并停用任何访问控制。但什么都没有改变。本地用户可以连接,但 AD 用户甚至看不到共享。
如果我启用日志记录级别 10,我会看到计算机正在尝试进行身份验证,但失败了。
我错过了什么?
[更新]
我找到了问题。我不太明白为什么会导致这种影响,但现在共享几乎按我想要的方式运行。
我确实用过
idmap uid = 10000-20000<br>
idmap gid = 10000-20000
来自教程http://wiki.ubuntuusers.de/Samba_Winbind 我不认为这些行已被弃用的警告会导致问题,因为弃用通常意味着仍然受支持。对于本地登录来说确实如此。但共享被破坏了。我用以下代码替换了这两行
idmap config * : range = 10000-20000
现在共享已正常运行。
唯一剩下的问题是,为了连接到 [homes] 共享,我需要使用 COMPUTERNAME\USERNAME,但我希望 homes 能够与 DOMAIN\USERNAME 一起使用?
如果有人知道如何改变这一点,我将不胜感激,但由于我只能使用带有用户名子目录的普通家庭共享,所以我不认为这是一个真正的问题。
答案1
用户 305136 的回答取自以下问题:
有时你会在第二天询问并找到解决方案。如果有人遇到与我相同的问题,以下是我的配置文件,现在可以正常工作。我用 SERVER 替换了 Windowsserver,用 DOMAIN.LOCAL 替换了域
krb5.conf: [logging] default = FILE:/var/log/krb5.log [libdefaults] ticket_lifetime = 24000 clock_skew = 300 default_realm = DOMAIN.LOCAL dns_lookup_realm = true dns_lookup_kdc = true [realms] DOMAIN.LOCAL = { kdc = SERVER.DOMAIN.LOCAL:88 admin_server = SERVER.DOMAIN.LOCAL default_domain = DOMAIN.LOCAL } [domain_realm] .domain.local = DOMAIN.LOCAL domain.local = DOMAIN.LOCAL .DOMAIN.LOCAL = DOMAIN.LOCAL DOMAIN.LOCAL = DOMAIN.LOCAL smb.conf: [global] security = ADS realm = DOMAIN.LOCAL workgroup = DOMAIN idmap config * : range = 10000-20000 server string = Linuxserver winbind enum users = yes winbind enum groups = yes winbind cache time = 10 winbind use default domain = yes winbind nested groups = yes template homedir = /home/%U template shell = /bin/bash client use spnego = yes ntlm auth = yes lanman auth = no client ntlmv2 auth = yes encrypt passwords = yes restrict anonymous = 2 domain master = no local master = no preferred master = no os level = 0 map to guest = bad user guest account = nobody unix extensions = yes valid users = @domänen-benutzer [homes] comment = Userdirectory browseable = no valid users = %S, DOMAIN.LOCAL\%S writeable = yes create mode = 0600 directory mode = 0700 [home] comment = Userdata path = /data/home/%U browsable = no valid users = %U writeable = yes create mode = 0600 directory mode = 0700 [Data] comment = Data path = /data/H writeable = yes valid users = @domänen-benutzer create mode = 0660 directory mode = 770
它现在正在工作。