我有一个由 20 台 Linux 服务器组成的网络。我的计划是让其中一台服务器充当 PDC,并允许其余服务器进行单点登录。我之所以说 PDC 而不是 ADS 系统,是因为我想避免运行 LDAP。我还会在机器之间进行共享等。我以前做过类似的事情,但是网络上已经有一个 Windows ADS 控制器了。
另外我目前不在机器前,所以我无法给你我的 smb.conf 文件的全部内容(只有我记得的)。
故事就这样结束了。
PDC
[Global]
workgroup = MYDOM
Domain master = yes
local master = yes
Domain logons = yes
security = user
.............
客户
[Global]
workgroup = MYDOM
Domain master =no
local master = no
security = user
现在第一件事是客户端的测试参数告诉我它是一台独立的机器。并且大多数“网络”命令拒绝工作,因为它们说它是一台独立的机器。
如果我将安全性更改为 DOMAIN(在客户端上),那么它会声称自己是域成员。如果我在服务器上执行此操作,它会开始声称自己是 BDC。然后任何常规命令都会抱怨没有 PDC...此外,从我读过的文档中,您必须为 Samba PDC 和 Samba 客户端对设置 security=user...
等式的下一部分是 winbind。正如我之前所说,我已经设法让它与 Real ADS 控制器一起工作。但是,如果使用 winbind 和我上面描述的配置,它会断然拒绝接受存在 PDC 或域。
所以现在我非常困惑和沮丧。
所以问题的简短版本是。我是否可以拥有一个仅 Samba 网络,其中有 Samba PDC、Samba 客户端、security=user,并让 winbind 使用 PDC 为客户端进行单点登录。(而不使用 LDAP)
希望这不会太冗长。
詹姆士
答案1
我相信您肯定需要将成员服务器设置为“security = domain”,然后尝试加入域(net rpc join -S servername)。
此外,Samba 手册和示例中肯定有一些内容是完全错误的或具有误导性的。
如果您可以在成员服务器上发布 net rpc join 的输出,这可能有助于调试问题。
我并不完全确定您最后一个问题的答案,但是由于 SAMBA 可以替代 Windows 来完成您希望它独立完成的两项工作,所以我认为它可以同时完成这两项工作(成为 PDC 和成员服务器)。
您收到的 winbind 错误是因为您有“security = user”,这实际上意味着 winbind 没有理由运行,因为它认为自己是一台独立的机器。
最后,请检查PDC的配置中是否有“passdb = something”。
抱歉,我的回答有点啰嗦,但有很多事情可能会出错,其中任何一个问题都可能让事情变得很糟糕。
-熏肉
答案2
如果您正在寻找 SSO 设置,并且您不需要 Windows 文件和打印服务(永远),那么您最好设置 Kerberos 身份验证,它仅提供您现在设置的 SSO 部分,并且可以通过在每个客户端上进行小型 PAM 更改轻松实现。
您没有提到是否会在某个时候让 Windows 客户端连接,因此这可能是处理您的情况的一种稍微简单的方法。
答案3
您需要为管理员(通常是 root)定义密码并创建机器账户。因此您必须
为每台机器创建系统用户以 $ 符号结尾:
用户添加-d / dev / null -g 100 -s / bin / false -M $
使用 smbpasswd 为每台机器创建一个 samba 密码。