所以我有一个旧的 NT 域和一个全新的 Windows 2008 R2 域。
当我将人们从旧服务器切换到新服务器时,我们遇到了这个问题。
我们有第三台服务器(运行 samba),它充当我的用户的文件服务器/远程存储。
我能做些什么让 Samba 服务器允许来自任一域的人登录?我已经尝试在它们之间建立信任,但没有成功。(无法创建信任)
答案1
由于 Windows 2008 R2 考虑到 WinNT 安全协议不安全,且森林功能级别高于 Server 2000 Compatible,因此您的信任失败。由于这是一个全新的 2008r2 域,因此您的功能级别为 Server 2008 R2。据我所知,您无法降级这些级别,因此您陷入困境。
Samba 可以做到这一点,但答案并不好,而且也不安全。诀窍是让 pam 处理 Samba 连接。这样做的主要缺点是密码以明文形式传输,某些 Windows 版本(XP 以上版本)在没有明确配置的情况下不允许这样做。
您必须配置 winbind 以与 NT 域通信,然后使用 LDAP 搜索 Active Directory 域。然后设置 pam_winbind 和 pam_ldap 以足以进行登录。最后配置 Samba 以使用 pam(“遵守 pam 限制”指令)。您还必须确保在将 NT 域中的帐户迁移到 2008r2 域后将其删除,否则 PAM 可能会选择错误的帐户进行身份验证。完成后,您可以将 Samba 正确连接到 2008 域,撤消 pam 指令,密码将再次安全。
虽然它很丑,但是它可能有用。