У меня есть сеть из 20 серверов Linux. Я планировал, что один из них будет действовать как PDC и разрешать единый вход для остальных серверов. Причина, по которой я говорю PDC, а не система ADS, заключается в том, что я хочу избежать запуска LDAP. У меня также будут такие вещи, как общие ресурсы между машинами и т. д. Я уже делал что-то подобное, однако в сети был готов контроллер Windows ADS.
Кроме того, в настоящее время я не нахожусь перед машинами, поэтому не могу предоставить вам полное содержимое моих файлов smb.conf (только то, что я помню).
Итак, вот что произошло на данный момент.
ПДК
[Global]
workgroup = MYDOM
Domain master = yes
local master = yes
Domain logons = yes
security = user
.............
Клиенты
[Global]
workgroup = MYDOM
Domain master =no
local master = no
security = user
Теперь первое, что я заметил, это то, что тестовый параметр клиента сообщает мне, что это автономная машина. И большинство «сетевых» команд отказываются работать, поскольку они говорят, что это автономная машина.
если я изменю security на DOMAIN (на клиенте), то он будет утверждать, что является членом домена. Если я сделаю это на сервере, он начнет утверждать, что он BDC. и затем любые обычные команды будут жаловаться, что нет PDC... Также из документации, которую я прочитал, у вас должно быть security=user для пары Samba PDC и Samba Client...
Следующая часть уравнения — winbind. Как я уже говорил ранее, мне удалось заставить его работать с контроллером Real ADS. Однако, если использовать winbind с конфигурацией, которую я описал выше, он категорически отказывается принимать наличие PDC или домена.
Так что теперь я очень сбит с толку и расстроен.
Итак, краткая версия вопроса такова. Могу ли я иметь сеть только с Samba, Samba PDC, Samba-клиентами, security=user и заставить winbind выполнять единый вход для клиентов, использующих PDC. (и без использования LDAP)
Надеюсь, это не слишком длинно.
Джеймс
решение1
Я считаю, что вам определенно нужно установить для своих серверов-участников значение «security = domain», а затем попытаться присоединиться к домену (net rpc join -S servername).
Кроме того, в руководстве по самбе определенно есть элементы и примеры, которые либо просто неверны, либо вводят в заблуждение.
Если бы вы могли опубликовать вывод net rpc join на рядовом сервере, это могло бы помочь отладить проблему.
Я не совсем уверен в ответе на ваш последний вопрос, но поскольку SAMBA может заменить Windows для обеих задач, которые вы хотите, чтобы она выполняла независимо, я бы предположил, что она может выполнять обе задачи одновременно (быть PDC и рядовым сервером).
Ошибка winbind, которую вы получаете, возникает из-за того, что у вас «security = user», что фактически означает, что у winbind нет причин работать, поскольку он считает себя автономной машиной.
Наконец, проверьте, есть ли в конфигурации PDC «passdb = something».
Извините за сумбурный ответ, но есть много вещей, которые могут пойти не так, и любая из них может все испортить.
-Бекон
решение2
Если вы ищете настройку SSO и вам никогда не понадобятся службы файлов и печати Windows, то, возможно, вам лучше настроить аутентификацию Kerberos, которая обеспечивает только часть SSO того, что вы настраиваете прямо сейчас, и может быть легко реализована путем небольшого изменения PAM на каждом клиенте.
Вы не упомянули, будут ли у вас когда-либо подключаться клиенты Windows, так что это может быть немного более простым способом решения вашей ситуации.
решение3
Вам нужно определить пароли для вашего администратора (обычно root) и создать учетные записи машин. Поэтому вам нужно
создать системного пользователя для каждой машинызаканчивающийся знаком $:
useradd -d /dev/null -g 100 -s /bin/false -M $
создайте пароль Samba с помощью smbpasswd для каждой машины.