我開始手動將我的 samba3(或現在的 samba4 classic)伺服器遷移到新的samba4 AD域。 (所有新伺服器都運行 v4.7.4。)DC 運行良好,我正在測試我的第一個成員伺服器。與 Windows 10 網域配合良好會員,但我們暫時不會將所有客戶端新增到網域中。
我們映射磁碟機的舊登入腳本現在確實會產生問題,因為非網域成員嘗試使用「LOCALCOMPUTER\username」登錄,密碼當然是相同的。
對於我的舊 samba 3 PDC,我成功地map untrusted to domain = yes解決了這個問題。我現在使用新的 default auto,據我所知,這將是 4.8 中的唯一值,但它似乎無法按我需要的方式工作。 AFAIU 成員伺服器應該將決定委託給 DC,如果 DC 未知,則應執行本機驗證。我不確定「本地」到底是什麼(是 AD 還是伺服器?),但它在這裡不起作用。
預設情況下,如果映射不受信任為domain = auto smbd,則將把客戶端提供的網域是否為有效網域的決定延遲到其所屬網域的網域控制站(DC)(如果不是)直流。如果DC指示域部分未知,則執行本機認證。 (男人 smb.conf v4.7.4)
簡而言之,是否有一個簡單的解決方案可以將所有未知域對應到 BSS\user?由於我只有這一個網域,所以我什至不介意繪製所有內容。
DC smb.conf 相當標準(省略了 netlogon/sysvol):
[global]
workgroup = BSS
realm = BSS.FQDN.EXAMPLE.COM
netbios name = BARVA
server role = active directory domain controller
dns forwarder = 1.2.3.4
idmap_ldb:use rfc2307 = yes
time server = yes
成員(檔案)伺服器,省略共享定義:
[global]
workgroup = BSS
realm = BSS.FQDN.EXAMPLE.COM
security = ADS
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
winbind refresh tickets = yes
winbind nss info = template
template shell = /bin/false
template homedir = /srv/samba/homes/%U
#
https://wiki.samba.org/index.php/Idmap_config_rid#Planning_the_ID_Ranges
# Default idmap config for local BUILTIN accounts and groups
idmap config * : backend = tdb
idmap config * : range = 3000-7999
# idmap config for the domain
idmap config BSS : backend = rid
idmap config BSS : range = 10000-999999
store dos attributes = yes
vfs objects = acl_xattr
inherit acls = yes
map acl inherit = yes
預先感謝,雅各布