Estou começando a migrar manualmente meus servidores samba3 (ou agora samba4 classic) para umnovoDomínio AD samba4. (Todos os novos servidores estão rodando com a v4.7.4.) Os DCs estão funcionando bem e estou testando meu primeiro servidor membro. Funciona bem com o domínio do Windows 10membros, mas ainda não adicionaremos todos os clientes ao domínio.
Nossos scripts de login antigos que mapeiam as unidades criam problemas agora, já que os não-membros do domínio tentam fazer login com "LOCALCOMPUTER\nomedeusuário", as senhas são obviamente as mesmas.
Para o meu antigo PDC do samba 3, usei com sucesso map untrusted to domain = yespara resolver esse problema. Agora estou usando o novo default auto, que será o único valor em 4.8, pelo que entendi, e não parece funcionar como preciso. AFAIU o servidor membro deve delegar a decisão ao DC, que, caso seja desconhecido, deverá realizar uma autenticação local. Não tenho certeza do que é exatamente "local" (é o AD ou o servidor?), mas não funciona aqui.
Por padrão, e com map untrusted to domain = auto smbd adiará a decisão se o nome de domínio fornecido pelo cliente é um nome de domínio válido para o Controlador de Domínio (DC) do domínio do qual é membro, se não for um DC. Se o DC indicar que a parte do domínio é desconhecida, uma autenticação local será executada. (homem smb.conf v4.7.4)
Resumindo, existe uma solução fácil para mapear todos os domínios desconhecidos para BSS\user? Como não tenho mais do que este domínio, nem me importo de mapear tudo.
DC smb.conf é bastante padrão (deixado de fora netlogon/sysvol):
[global]
workgroup = BSS
realm = BSS.FQDN.EXAMPLE.COM
netbios name = BARVA
server role = active directory domain controller
dns forwarder = 1.2.3.4
idmap_ldb:use rfc2307 = yes
time server = yes
Servidor membro (arquivo), omitindo as definições de compartilhamento:
[global]
workgroup = BSS
realm = BSS.FQDN.EXAMPLE.COM
security = ADS
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
winbind refresh tickets = yes
winbind nss info = template
template shell = /bin/false
template homedir = /srv/samba/homes/%U
#
https://wiki.samba.org/index.php/Idmap_config_rid#Planning_the_ID_Ranges
# Default idmap config for local BUILTIN accounts and groups
idmap config * : backend = tdb
idmap config * : range = 3000-7999
# idmap config for the domain
idmap config BSS : backend = rid
idmap config BSS : range = 10000-999999
store dos attributes = yes
vfs objects = acl_xattr
inherit acls = yes
map acl inherit = yes
Agradecemos antecipadamente, Jakob