我已经设置了一个 Samba 3 服务器作为 PDC,并带有 passdb LDAP 后端。
服务器 SID:S-1-5-21-3270...域:A
每个用户都有一个以此服务器 SID 开头的 SambaSID。但现在我尝试为一些共享设置第二个服务器。此服务器应使用相同的 LDAP 后端,因为我不想有两个 LDAP 后端。否则我必须进行两次修改(例如添加用户)。
第二台服务器 SID:S-1-5-21-3797...域:B
但是现在当用户尝试挂载这个新的共享时,我在 samba 日志中看到此错误:主组域 sid(S-1-5-21-3797....)与 xxx(S-1-5-21-3270...)的域 sid(S-1-5-21-3270...)不匹配。
我了解这个问题,但我该怎么做才能避免维护两个 LDAP 后端?
问候,西蒙
答案1
您必须像在“真实”的 Windows 环境中一样思考。在这样的环境中,如果您需要添加更多服务器,则不会为每台服务器创建一个新域。这里也一样。
服务器 A 指向 LDAP 后端,其中包含所有用户和组。服务器正在为域控制器提供服务。
因此,您需要做的是将第二台服务器设置为服务器 A 所服务的域的成员。
您将在一个 LDAP 中管理所有用户和组,服务器 A 作为域控制器将为您的用户执行所有身份验证。服务器 B 将为您的共享提供服务。由于它们都位于同一个域中,您的用户将能够访问两台服务器上的资源,而无需执行域信任关系。
这是一种常见的设置,即使在“真实的” Windows Active Directory 设置中也是如此:拆分身份验证和文件服务的工作。