我意识到这个问题可能会变得相当复杂,需要冗长的描述。同样,可能也不会有任何简短的答案。
我有一个大型数据存储区 (SAN),通过 samba 服务器 (当前版本为 3.6.x) 为一个域中的多个用户提供访问。SAN 和服务器位于单独的域/环境中。
问题是用户也在另一个域中工作,我想将共享的访问权限扩展到第二个域。
建议的解决方案
关于如何实现在第二个域中授予 SAMBA 共享访问权限的目标,我的初步想法如下:
SAMBA 共享的文件系统首先通过 NFS“暴露”给第二个域中的本地服务器。您可能想知道为什么这样做,因为第一个 SAMBA 服务器和第二个域之间的地理/网络距离很大,所以这主要是出于性能原因。
一旦第二个域中的服务器通过 NFS 获得 SAMBA 共享,它将充当 SAMBA 服务器并将共享分发给客户端上的用户。
问题
我认为这里的主要问题是 SAMBA 共享文件系统上的用户帐户、所有权、权限等。
用户在两个域中登录的账户彼此无关,本质上没有任何共同之处。
目前身份验证设置为security = User
在 samba 服务器中,身份验证和访问是通过服务器上的本地帐户进行的。以前身份验证是针对第一个域中的 AD 服务器进行的,但我们遇到了一些问题,因此改为使用本地帐户。
samba 共享的文件系统基本设置为,有多个所有权为 的公共共享文件夹nobody:usergroup
和所有权为 的私人文件夹<user>:usergroup
。(每个用户都是 的成员usergroup
)
我倾向于依赖本地帐户而不是使用 Active Directory,因为这只是一小部分人,而且看起来它可以简化很多事情。在这种情况下,所要做的就是在两个服务器之间同步帐户。
您认为这大体上可行吗?您认为这种设置可能出现什么重大问题吗?
答案1
创建包含两个域成员的林
通用组:
- 会员纳入:用户、计算机帐户、全局组和通用组来自任何领域
- 权限:在任何域内,都可以将通用组添加到其他组并授予权限。
全局组:
- 会员纳入:来自同一域的任何用户或计算机帐户或其他全局组
- 权限:可以将全局组添加到林中任何域中的其他全局组并分配权限
域本地组:
- 会员纳入:与通用组相同,但您也可以包括来自同一域的域本地组。
- 允许:域本地组只能添加到同一域内的其他域本地组并分配权限。
编辑:我以为你谈论的都是微软,现在我看到 Samba 共享,你可能在 Linux 上。我可能只是自己搞混了。我是个学生,如果这没用,我很抱歉。