Tengo una red de 20 servidores Linux. Mi plan era que uno actuara como un PDC y permitiera el inicio de sesión único para el resto de los servidores. La razón por la que digo PDC en lugar de sistema ADS es que quiero evitar ejecutar LDAP. También tendré cosas como recursos compartidos entre las máquinas, etc. He hecho algo como esto antes, sin embargo, había un controlador ADS de Windows en la red listo.
Además, actualmente no estoy frente a las máquinas, por lo que no puedo brindarles el contenido completo de mis archivos smb.conf (solo lo que recuerdo).
Así la historia hasta ahora.
El PDC
[Global]
workgroup = MYDOM
Domain master = yes
local master = yes
Domain logons = yes
security = user
.............
Los clientes
[Global]
workgroup = MYDOM
Domain master =no
local master = no
security = user
Ahora, lo primero es que el parámetro de prueba del cliente me dice que es una máquina independiente. y la mayoría de los comandos 'net' se niegan a funcionar porque dicen que es una máquina independiente.
si cambio la seguridad a DOMINIO (en el cliente), afirma ser miembro del dominio. Si lo hago en el servidor, empieza a decir que es un BDC. y luego cualquier comando normal se queja de que no hay PDC... Además, según los documentos que he leído, debes tener seguridad=usuario para un par de Samba PDC y Samba Client...
La siguiente parte de la ecuación es winbind. Como dije anteriormente, logré que eso funcione con un controlador Real ADS. Sin embargo, si usa winbind con la configuración que he descrito anteriormente, se niega rotundamente a aceptar que haya un PDC o un dominio presente.
Así que ahora estoy muy confundido y frustrado.
Entonces la versión corta de la pregunta es. ¿Puedo tener una red solo Samba, con un PDC Samba, clientes Samba, seguridad = usuario y hacer que winbind realice el inicio de sesión único para los clientes que usan el PDC? (y sin usar LDAP)
Espero que esto no sea demasiado largo.
Jaime
Respuesta1
Creo que definitivamente necesita configurar sus servidores miembros en "seguridad = dominio" y luego intentar unirse al dominio (net rpc join -S servername).
Además, definitivamente hay elementos del manual de samba y ejemplos que son simplemente erróneos o engañosos.
Si pudiera publicar el resultado de una unión net rpc en un servidor miembro, eso podría ayudar a depurar el problema.
No estoy totalmente seguro de la respuesta a su pregunta final, pero como SAMBA puede reemplazar Windows para las dos cosas que desea que haga de forma independiente, supongo que podría hacer ambas cosas al mismo tiempo (ser un PDC y un servidor miembro).
El error de winbind que recibe se debe a que tiene "seguridad = usuario", lo que efectivamente significa que winbind no tiene motivos para ejecutarse porque cree que es una máquina independiente.
Finalmente, verifique que tenga un "passdb = algo" en la configuración del PDC.
Perdón por la respuesta incoherente, pero hay muchas cosas que pueden salir mal y cualquiera de ellas hará que las cosas se estropeen mucho.
-Tocino
Respuesta2
Si está buscando una configuración SSO y no necesita los servicios de archivos e impresión de Windows (nunca), entonces sería mejor que configure la autenticación Kerberos, que proporciona solo la parte SSO de lo que está configurando ahora. y se puede implementar fácilmente mediante un pequeño cambio de PAM en cada cliente.
No mencionaste si alguna vez tendrías clientes de Windows conectados en algún momento, por lo que esta podría ser una forma un poco más fácil de lidiar con tu situación.
Respuesta3
Debe definir contraseñas para su administrador (generalmente root) y crear cuentas de máquinas. Entonces tienes que
crear un usuario del sistema para cada máquinaterminando con un signo $:
usuarioadd -d /dev/null -g 100 -s /bin/false -M $
cree una contraseña de samba con smbpasswd para cada máquina.