私は 20 台の Linux サーバーのネットワークを持っています。計画では、1 台を PDC のように動作させて、残りのサーバーにシングル サインオンを許可することにしていました。ADS システムではなく PDC と言うのは、LDAP の実行を避けたいからです。マシン間の共有なども行います。以前にも似たようなことをしたことがありますが、ネットワーク上には既に Windows ADS コントローラーがありました。
また、現在私はマシンの前にいないので、smb.conf ファイルの完全な内容を伝えることはできません (覚えている内容のみ)。
ということで、これまでのお話。
PDCは
[Global]
workgroup = MYDOM
Domain master = yes
local master = yes
Domain logons = yes
security = user
.............
クライアント
[Global]
workgroup = MYDOM
Domain master =no
local master = no
security = user
まず、クライアントの testparam から、それがスタンドアロン マシンであることが分かります。そして、ほとんどの 'net' コマンドは、それがスタンドアロン マシンであると表示されるため、動作しません。
セキュリティを DOMAIN に変更すると (クライアント側で)、ドメイン メンバーであると主張します。サーバー側でこれを行うと、BDC であると主張し始めます。その後、通常のコマンドは PDC がないとエラーを出します... また、私が読んだドキュメントによると、Samba PDC と Samba クライアントのペアには、security=user が必要です...
方程式の次の部分は winbind です。前に述べたように、私はこれを Real ADS コントローラーで動作させることに成功しました。しかし、上で説明した構成で winbind を使用すると、PDC またはドメインが存在することを断固として拒否します。
それで今、私はとても混乱し、イライラしています。
質問の要約は次のとおりです。Samba PDC、Samba クライアント、security=user を備えた Samba のみのネットワークを構築し、PDC を使用するクライアントに対して winbind でシングル サインオンを実行できますか。(LDAP は使用しません)
あまり長くならないように願っています。
ジェームズ
答え1
メンバー サーバーを必ず「security = domain」に設定し、ドメインへの参加を試みる必要があります (net rpc join -S servername)。
また、Samba のマニュアルや例には、明らかに間違っているか誤解を招く要素が確かに存在します。
メンバー サーバーでの net rpc join の出力を投稿していただければ、問題のデバッグに役立つ可能性があります。
最後の質問に対する答えについては完全には確信がありませんが、SAMBA は独立して実行したい両方の操作を Windows の代わりに実行できるため、両方を同時に実行できる (PDC とメンバー サーバーになる) と想定します。
発生している winbind エラーは、「security = user」があるために発生します。これは、winbind がスタンドアロン マシンであると認識されるため、winbind を実行する理由がないことを意味します。
最後に、PDC の構成に「passdb = something」があることを確認してください。
まとまりのない返答で申し訳ありませんが、問題が発生する可能性はたくさんあり、そのうちの 1 つでも問題が発生すると、状況は大きく損なわれます。
-ベーコン
答え2
SSO 設定が必要で、Windows ファイルおよび印刷サービスが (まったく) 必要ない場合は、現在設定している SSO 部分のみを提供する Kerberos 認証を設定する方がよい場合があります。これは、各クライアントで PAM を少し変更するだけで簡単に実装できます。
将来的に Windows クライアントが接続するかどうかについては触れられていませんが、この方法の方が状況に対処するには少し簡単な方法かもしれません。
答え3
管理者(通常はroot)のパスワードを定義し、マシンアカウントを作成する必要があります。
各マシンにシステムユーザーを作成する$記号で終わる:
ユーザー追加 -d /dev/null -g 100 -s /bin/false -M $
各マシンに対して smbpasswd を使用して Samba パスワードを作成します。