我有一個由 20 台 Linux 伺服器組成的網路。我的計劃是讓一台伺服器扮演 PDC 的角色,並允許其他伺服器進行單一登入。我之所以說 PDC 而不是 ADS 系統,是因為我想避免執行 LDAP。我還會有諸如機器之間的共享之類的東西。
另外,我目前不在機器前,所以我無法向您提供 smb.conf 檔案的完整內容(僅是我記得的內容)。
故事到此為止。
PDC
[Global]
workgroup = MYDOM
Domain master = yes
local master = yes
Domain logons = yes
security = user
.............
客戶
[Global]
workgroup = MYDOM
Domain master =no
local master = no
security = user
現在第一件事是客戶端的 testparam 告訴我它是一台獨立的機器。大多數“net”命令拒絕工作,因為他們說它是一台獨立的機器。
如果我將安全性變更為 DOMAIN (在客戶端上),那麼它聲稱自己是網域成員。如果我在伺服器上執行此操作,它就會開始聲稱它是 BDC。然後任何普通命令都會抱怨沒有 PDC...另外,從我讀過的文檔中,您必須為 Samba PDC 和 Samba 用戶端對設定 security=user...
等式的下一部分是 winbind。正如我之前所說,我已經設法使其與 Real ADS 控制器一起工作。但是,如果使用 winbind 和我上面描述的配置,如果斷然拒絕接受存在 PDC 或域。
所以我現在非常迷茫和沮喪。
所以問題的簡短版本是。我能否擁有一個僅 Samba 的網絡,帶有 Samba PDC、Samba 用戶端、security=user 並讓 winbind 使用 PDC 為客戶端執行單一登入。 (且不使用 LDAP)
希望這不是太囉嗦。
詹姆士
答案1
我相信您肯定需要將成員伺服器設定為“安全=網域”,然後嘗試加入網域(net rpc join -S servername)。
此外,Samba 手冊和範例中肯定有一些內容是完全錯誤的或具有誤導性的。
如果您可以在成員伺服器上發布 net rpc join 的輸出,這可能有助於偵錯問題。
我不完全確定你最後一個問題的答案,但由於 SAMBA 可以取代 Windows 來完成你希望它獨立完成的兩件事,我認為它可以同時完成這兩件事(作為一個 PDC 和一個會員伺服器)。
您收到的 winbind 錯誤是因為您有“security = user”,這實際上意味著 winbind 沒有理由運行,因為它認為它是一台獨立的機器。
最後,請檢查 PDC 的配置中是否有「passdb=something」。
很抱歉回覆漫無目的,但是有很多事情會出錯,其中任何一個都會讓事情變得非常糟糕。
-培根
答案2
如果您正在尋找 SSO 設置,並且不需要 Windows 檔案和列印服務(永遠),那麼您最好設定 Kerberos 身份驗證,它僅提供您現在正在設定的 SSO 部分,並且可以透過在每個用戶端上進行小的PAM 變更來輕鬆實現。
您沒有提到是否會在某個時刻連接 Windows 用戶端,因此這可能是處理您的情況的一種稍微簡單的方法。
答案3
您需要為管理員(通常是 root)定義密碼並建立電腦帳戶。所以你必須
為每台機器創建一個系統用戶以 $ 符號結尾:
useradd -d /dev/null -g 100 -s /bin/false -M $
使用 smbpasswd 為每台機器建立 samba 密碼。