Estoy empezando a migrar manualmente mis servidores samba3 (o ahora samba4 classic) a unnuevoDominio AD samba4. (Todos los servidores nuevos ejecutan la versión 4.7.4). Los DC funcionan bien y estoy probando mi primer servidor miembro. Funciona bien con el dominio de Windows 10miembros, pero todavía no agregaremos todos los clientes al dominio.
Nuestros antiguos scripts de inicio de sesión que asignan las unidades crean problemas ahora, ya que los miembros que no son del dominio intentan iniciar sesión con "LOCALCOMPUTER\nombre de usuario", las contraseñas son, por supuesto, las mismas.
Para mi antiguo PDC Samba 3, lo utilicé con éxito map untrusted to domain = yespara resolver ese problema. Ahora estoy usando el nuevo valor predeterminado auto, que será el único valor en 4.8, según tengo entendido, y no parece funcionar como lo necesito. AFAIU se supone que el servidor miembro delega la decisión al DC, que, en caso de que sea desconocido, debe realizar una autenticación local. No estoy seguro de qué es exactamente "local" (¿es el AD o el servidor?), pero no funciona aquí.
De forma predeterminada, y con map untrusted to domain = auto smbd diferirá la decisión de si el nombre de dominio proporcionado por el cliente es un nombre de dominio válido al controlador de dominio (DC) del dominio del que es miembro, si no es un CORRIENTE CONTINUA. Si el DC indica que la parte del dominio es desconocida, se realiza una autenticación local. (hombre smb.conf v4.7.4)
En resumen, ¿existe una solución sencilla para asignar todos los dominios desconocidos a BSS\usuario? Como no tengo más que este dominio, ni siquiera me importa mapear todo.
DC smb.conf es bastante estándar (se excluye netlogon/sysvol):
[global]
workgroup = BSS
realm = BSS.FQDN.EXAMPLE.COM
netbios name = BARVA
server role = active directory domain controller
dns forwarder = 1.2.3.4
idmap_ldb:use rfc2307 = yes
time server = yes
Servidor miembro (archivo), omitió las definiciones de recursos compartidos:
[global]
workgroup = BSS
realm = BSS.FQDN.EXAMPLE.COM
security = ADS
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
winbind refresh tickets = yes
winbind nss info = template
template shell = /bin/false
template homedir = /srv/samba/homes/%U
#
https://wiki.samba.org/index.php/Idmap_config_rid#Planning_the_ID_Ranges
# Default idmap config for local BUILTIN accounts and groups
idmap config * : backend = tdb
idmap config * : range = 3000-7999
# idmap config for the domain
idmap config BSS : backend = rid
idmap config BSS : range = 10000-999999
store dos attributes = yes
vfs objects = acl_xattr
inherit acls = yes
map acl inherit = yes
Gracias de antemano jakob