Ich beginne mit der manuellen Migration meiner Samba3-Server (oder jetzt Samba4 Classic) in einneuSamba4 AD-Domäne. (Alle neuen Server laufen mit v4.7.4.) Die DCs laufen einwandfrei und ich teste meinen ersten Mitgliedsserver. Funktioniert gut mit Windows 10-DomäneMitglieder, aber wir werden noch nicht alle Clients zur Domäne hinzufügen.
Unsere alten Anmeldeskripte, die die Laufwerke zuordnen, verursachen jetzt Probleme, da die Nicht-Domänenmitglieder versuchen, sich mit „LOCALCOMPUTER\Benutzername“ anzumelden, die Passwörter sind natürlich dieselben.
Für meinen alten Samba 3 PDC habe ich map untrusted to domain = yesdieses Problem erfolgreich gelöst. Ich verwende jetzt den neuen Standardwert auto, der meines Wissens der einzige Wert in 4.8 sein wird, und er scheint nicht so zu funktionieren, wie ich es brauche. Soweit ich weiß, soll der Mitgliedsserver die Entscheidung an den DC delegieren, der, falls er unbekannt ist, eine lokale Authentifizierung durchführen soll. Ich bin mir nicht sicher, was genau „lokal“ ist (ist es der AD oder der Server?), aber hier funktioniert es nicht.
Standardmäßig und mit map untrusted to domain = auto überlässt smbd die Entscheidung, ob der vom Client angegebene Domänenname ein gültiger Domänenname ist, dem Domänencontroller (DC) der Domäne, der er angehört, wenn es sich nicht um einen DC handelt. Wenn der DC angibt, dass der Domänenanteil unbekannt ist, wird eine lokale Authentifizierung durchgeführt. (man smb.conf v4.7.4)
Kurz gesagt: Gibt es eine einfache Lösung, um alle unbekannten Domänen BSS\user zuzuordnen? Da ich nicht mehr als diese eine Domäne habe, macht es mir nichts aus, alles zuzuordnen.
DC smb.conf ist ziemlich standardmäßig (netlogon/sysvol weggelassen):
[global]
workgroup = BSS
realm = BSS.FQDN.EXAMPLE.COM
netbios name = BARVA
server role = active directory domain controller
dns forwarder = 1.2.3.4
idmap_ldb:use rfc2307 = yes
time server = yes
Mitglieds-(Datei-)Server, Freigabedefinitionen weggelassen:
[global]
workgroup = BSS
realm = BSS.FQDN.EXAMPLE.COM
security = ADS
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
winbind refresh tickets = yes
winbind nss info = template
template shell = /bin/false
template homedir = /srv/samba/homes/%U
#
https://wiki.samba.org/index.php/Idmap_config_rid#Planning_the_ID_Ranges
# Default idmap config for local BUILTIN accounts and groups
idmap config * : backend = tdb
idmap config * : range = 3000-7999
# idmap config for the domain
idmap config BSS : backend = rid
idmap config BSS : range = 10000-999999
store dos attributes = yes
vfs objects = acl_xattr
inherit acls = yes
map acl inherit = yes
Vielen Dank im Voraus, Jakob