Eu tenho uma rede de 20 servidores Linux. Meu plano era fazer com que um funcionasse como um PDC e permitisse logon único para o restante dos servidores. A razão pela qual digo PDC em vez de sistema ADS é que quero evitar a execução do LDAP. Também terei coisas como compartilhamentos entre as máquinas, etc. Já fiz algo assim antes, porém havia um controlador Windows ADS na rede pronto.
Além disso, atualmente não estou na frente das máquinas, por isso não posso fornecer o conteúdo completo dos meus arquivos smb.conf (apenas o que me lembro).
Então a história até agora.
O CDP
[Global]
workgroup = MYDOM
Domain master = yes
local master = yes
Domain logons = yes
security = user
.............
Os clientes
[Global]
workgroup = MYDOM
Domain master =no
local master = no
security = user
Agora, a primeira coisa é o testparam para o cliente, que me diz que é uma máquina independente. e a maioria dos comandos 'net' se recusam a funcionar porque dizem que é uma máquina autônoma.
se eu alterar a segurança para DOMAIN (no cliente), ele afirma ser um membro do domínio. Se eu fizer isso no servidor, ele começará a afirmar que é um BDC. e então qualquer comando normal reclama que não há PDC... Além disso, pelos documentos que li, você deve ter security=user para um par Samba PDC e Samba Client...
A próxima parte da equação é winbind. Como afirmei anteriormente, consegui fazer isso funcionar com um controlador Real ADS. No entanto, se usar o winbind com a configuração que descrevi acima, ele se recusará terminantemente a aceitar que há um PDC ou domínio presente.
Então agora estou muito confuso e frustrado.
Portanto, a versão resumida da pergunta é. Posso ter uma rede somente Samba, com um PDC Samba, clientes Samba, security=user e fazer com que o winbind faça o login único para os clientes que usam o PDC. (e sem usar LDAP)
Espero que isso não seja muito prolixo.
James
Responder1
Eu acredito que você definitivamente precisa definir seus servidores membros como "security = domain" e então tentar ingressar no domínio (net rpc join -S servername).
Além disso, definitivamente existem elementos do manual do samba e exemplos que são totalmente errados ou enganosos.
Se você pudesse postar a saída de um net rpc join em um servidor membro, isso poderia ajudar a depurar o problema.
Não tenho certeza da resposta à sua pergunta final, mas como o SAMBA pode substituir o Windows por ambas as coisas que você deseja que ele faça de forma independente, presumo que ele poderia fazer as duas coisas ao mesmo tempo (ser um PDC e um servidor membro).
O erro do winbind que você está recebendo é porque você tem "security = user", o que significa efetivamente que o winbind não tem motivo para estar em execução porque pensa que é uma máquina autônoma.
Por fim, verifique se você possui "passdb = alguma coisa" na configuração do PDC.
Desculpe pela resposta desconexa, mas há muitas coisas que podem dar errado e qualquer uma delas deixará as coisas muito quebradas.
-Bacon
Responder2
Se você está procurando uma configuração de SSO e não precisa de serviços de arquivo e impressão do Windows (nunca), talvez seja melhor configurar a autenticação Kerberos, que fornece apenas a parte SSO do que você está configurando agora , e pode ser facilmente implementado através de uma pequena alteração no PAM em cada cliente.
Você não mencionou se algum dia teria clientes Windows se conectando em algum momento, então essa pode ser uma maneira um pouco mais fácil de lidar com sua situação.
Responder3
Você precisa definir senhas para seu administrador (geralmente root) e criar contas de máquinas. Então você tem que
crie um usuário do sistema para cada máquinaterminando com um sinal $:
useradd -d /dev/null -g 100 -s /bin/false -M $
crie uma senha do samba com smbpasswd para cada máquina.