私はsamba3(または現在はsamba4クラシック)サーバーを手動で移行し始めています新しいsamba4 ADドメイン。(すべての新しいサーバーはv4.7.4で実行されています。) DCは正常に動作しており、最初のメンバーサーバーをテストしています。Windows 10ドメインでうまく動作します。メンバーただし、まだすべてのクライアントをドメインに追加するつもりはありません。
ドライブをマップする古いログイン スクリプトでは、ドメイン メンバー以外のユーザーが「LOCALCOMPUTER\username」でログインしようとするため、パスワードが当然同じになり、問題が発生します。
以前の samba 3 PDC では、map untrusted to domain = yesその問題を解決するのに成功していました。現在は新しい default を使用していますがauto、これは私が理解している限りでは 4.8 で唯一の値になりますが、必要なようには機能していないようです。私の知る限り、メンバー サーバーは DC に決定を委任することになっています。DC が不明な場合は、ローカル認証を実行する必要があります。「ローカル」が正確に何であるかはわかりません (AD ですか、それともサーバーですか?) が、ここでは機能しません。
デフォルトでは、map untrusted to domain = auto の場合、smbd は、クライアントがメンバーであるドメインのドメイン コントローラー (DC) でない場合は、クライアントが提供したドメイン名が有効なドメイン名であるかどうかの判断を DC に委ねます。DC がドメイン部分が不明であることを示す場合は、ローカル認証が実行されます。(マニュアル smb.conf v4.7.4)
つまり、すべての不明なドメインを BSS\user にマップする簡単な解決策はありますか? この 1 つのドメインしか持っていないので、すべてをマップしてもかまいません。
DC smb.conf はかなり標準的です (netlogon/sysvol は除外されています)。
[global]
workgroup = BSS
realm = BSS.FQDN.EXAMPLE.COM
netbios name = BARVA
server role = active directory domain controller
dns forwarder = 1.2.3.4
idmap_ldb:use rfc2307 = yes
time server = yes
メンバー (ファイル) サーバー、共有定義を省略:
[global]
workgroup = BSS
realm = BSS.FQDN.EXAMPLE.COM
security = ADS
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
winbind refresh tickets = yes
winbind nss info = template
template shell = /bin/false
template homedir = /srv/samba/homes/%U
#
https://wiki.samba.org/index.php/Idmap_config_rid#Planning_the_ID_Ranges
# Default idmap config for local BUILTIN accounts and groups
idmap config * : backend = tdb
idmap config * : range = 3000-7999
# idmap config for the domain
idmap config BSS : backend = rid
idmap config BSS : range = 10000-999999
store dos attributes = yes
vfs objects = acl_xattr
inherit acls = yes
map acl inherit = yes
よろしくお願いします、ジェイコブ