Samba 未将用户映射到域

Samba 未将用户映射到域

我开始手动将我的 samba3(或现在的 samba4 classic)服务器迁移到新的samba4 AD 域。(所有新服务器都运行 v4.7.4。)DC 运行良好,我正在测试我的第一个成员服务器。与 Windows 10 域配合良好成员,但我们暂时不会将所有客户端都添加到域中。

我们映射驱动器的旧登录脚本现在确实会产生问题,因为非域成员尝试使用“LOCALCOMPUTER\username”登录,密码当然是相同的。

对于我的旧 samba 3 PDC,我成功地map untrusted to domain = yes解决了这个问题。我现在使用新的默认值auto,据我所知,这将是 4.8 中的唯一值,但它似乎不能按我需要的方式工作。据我所知,成员服务器应该将决定委托给 DC,如果未知,则应该执行本地身份验证。我不确定“本地”到底是什么(是 AD 还是服务器?),但它在这里不起作用。

默认情况下,如果将 untrusted to domain = auto,smbd 将把客户端提供的域名是否为有效域名的决定权交给它所属域的域控制器 (DC)(如果它不是 DC)。如果 DC 指示域部分未知,则执行本地身份验证。(人 smb.conf v4.7.4

简而言之,是否有一个简单的解决方案将所有未知域映射到 BSS\user?由于我没有超过这个域,所以我甚至不介意映射所有内容。

DC smb.conf 相当标准(忽略了 netlogon/sysvol):

[global]
        workgroup = BSS
        realm = BSS.FQDN.EXAMPLE.COM
        netbios name = BARVA
        server role = active directory domain controller
        dns forwarder = 1.2.3.4
        idmap_ldb:use rfc2307 = yes
        time server = yes

成员(文件)服务器,省略了共享定义:

[global]
    workgroup = BSS
    realm = BSS.FQDN.EXAMPLE.COM
    security = ADS

    winbind enum users = yes
    winbind enum groups = yes
    winbind use default domain = yes
    winbind refresh tickets = yes
    winbind nss info = template
    template shell = /bin/false
    template homedir = /srv/samba/homes/%U

    #
https://wiki.samba.org/index.php/Idmap_config_rid#Planning_the_ID_Ranges
    # Default idmap config for local BUILTIN accounts and groups
    idmap config * : backend = tdb
    idmap config * : range = 3000-7999

    # idmap config for the domain
    idmap config BSS : backend = rid
    idmap config BSS : range = 10000-999999

    store dos attributes = yes
    vfs objects = acl_xattr
    inherit acls = yes
    map acl inherit = yes

提前致谢,Jakob

相关内容