Я начинаю вручную переносить свои серверы Samba3 (или теперь Samba4 Classic) вновыйДомен samba4 AD. (Все новые серверы работают с v4.7.4.) Контроллеры доменов работают нормально, и я тестирую свой первый сервер-участник. Хорошо работает с доменом Windows 10члены, но мы пока не будем добавлять всех клиентов в домен.
Наши старые сценарии входа, которые отображают диски, теперь создают проблемы, поскольку пользователи, не являющиеся членами домена, пытаются войти с помощью «LOCALCOMPUTER\имя_пользователя», пароли, конечно, те же.
Для моего старого Samba 3 PDC я успешно использовал map untrusted to domain = yesдля решения этой проблемы. Теперь я использую новое значение по умолчанию auto, которое будет единственным значением в 4.8, насколько я понимаю, и оно, похоже, не работает так, как мне нужно. AFAIU предполагается, что сервер-участник делегирует решение DC, который, в случае его неизвестности, должен выполнить локальную аутентификацию. Я не уверен, что именно означает «локальный» (это AD или сервер?), но здесь это не работает.
По умолчанию и с map untrusted to domain = auto smbd отложит решение о том, является ли доменное имя, предоставленное клиентом, допустимым доменным именем, на контроллер домена (DC) домена, членом которого он является, если он не является DC. Если DC указывает, что доменная часть неизвестна, то выполняется локальная аутентификация. (man smb.conf v4.7.4)
Короче говоря, есть ли простое решение для сопоставления всех неизвестных доменов с BSS\user? Поскольку у меня нет ничего, кроме этого одного домена, я даже не против сопоставления всего.
DC smb.conf довольно стандартен (пропущен netlogon/sysvol):
[global]
workgroup = BSS
realm = BSS.FQDN.EXAMPLE.COM
netbios name = BARVA
server role = active directory domain controller
dns forwarder = 1.2.3.4
idmap_ldb:use rfc2307 = yes
time server = yes
Сервер-участник (файл), не учитывающий определения общих ресурсов:
[global]
workgroup = BSS
realm = BSS.FQDN.EXAMPLE.COM
security = ADS
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
winbind refresh tickets = yes
winbind nss info = template
template shell = /bin/false
template homedir = /srv/samba/homes/%U
#
https://wiki.samba.org/index.php/Idmap_config_rid#Planning_the_ID_Ranges
# Default idmap config for local BUILTIN accounts and groups
idmap config * : backend = tdb
idmap config * : range = 3000-7999
# idmap config for the domain
idmap config BSS : backend = rid
idmap config BSS : range = 10000-999999
store dos attributes = yes
vfs objects = acl_xattr
inherit acls = yes
map acl inherit = yes
Спасибо заранее, Якоб