我开始手动将我的 samba3(或现在的 samba4 classic)服务器迁移到新的samba4 AD 域。(所有新服务器都运行 v4.7.4。)DC 运行良好,我正在测试我的第一个成员服务器。与 Windows 10 域配合良好成员,但我们暂时不会将所有客户端都添加到域中。
我们映射驱动器的旧登录脚本现在确实会产生问题,因为非域成员尝试使用“LOCALCOMPUTER\username”登录,密码当然是相同的。
对于我的旧 samba 3 PDC,我成功地map untrusted to domain = yes解决了这个问题。我现在使用新的默认值auto,据我所知,这将是 4.8 中的唯一值,但它似乎不能按我需要的方式工作。据我所知,成员服务器应该将决定委托给 DC,如果未知,则应该执行本地身份验证。我不确定“本地”到底是什么(是 AD 还是服务器?),但它在这里不起作用。
默认情况下,如果将 untrusted to domain = auto,smbd 将把客户端提供的域名是否为有效域名的决定权交给它所属域的域控制器 (DC)(如果它不是 DC)。如果 DC 指示域部分未知,则执行本地身份验证。(人 smb.conf v4.7.4)
简而言之,是否有一个简单的解决方案将所有未知域映射到 BSS\user?由于我没有超过这个域,所以我甚至不介意映射所有内容。
DC smb.conf 相当标准(忽略了 netlogon/sysvol):
[global]
workgroup = BSS
realm = BSS.FQDN.EXAMPLE.COM
netbios name = BARVA
server role = active directory domain controller
dns forwarder = 1.2.3.4
idmap_ldb:use rfc2307 = yes
time server = yes
成员(文件)服务器,省略了共享定义:
[global]
workgroup = BSS
realm = BSS.FQDN.EXAMPLE.COM
security = ADS
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
winbind refresh tickets = yes
winbind nss info = template
template shell = /bin/false
template homedir = /srv/samba/homes/%U
#
https://wiki.samba.org/index.php/Idmap_config_rid#Planning_the_ID_Ranges
# Default idmap config for local BUILTIN accounts and groups
idmap config * : backend = tdb
idmap config * : range = 3000-7999
# idmap config for the domain
idmap config BSS : backend = rid
idmap config BSS : range = 10000-999999
store dos attributes = yes
vfs objects = acl_xattr
inherit acls = yes
map acl inherit = yes
提前致谢,Jakob