我有一台运行Samba的CentOS 5.3服务器。 我已经将此服务器join到我的域中,希望允许AD用户访问我的Samba共享。 我发现这是有效的,但只有当我尝试进行身份validation的AD用户名也是服务器上的本地用户时。 换句话说,如果我试图访问共享,并尝试使用AD用户名“joe”进行身份validation,除非我在服务器上创build名为“joe”的用户,否则将会出错。 我不必创build一个匹配的密码或任何东西….本地用户的密码始终是空白的,所以我知道身份validation实际上是针对AD发生的。
这是我的smb.conf文件:
[全球]
workgroup = <mydomain> server string = <snip> netbios name = HOME security = ADS realm = <mydomain.com> password server = <snip> auth methods = winbind log level = 1 log file = /var/log/samba/%m.log[amore] path = / var / www / amore browseable = yes writable = yes有效用户= DOMAIN \ user1 DOMAIN \ user2 DOMAIN \ user3 DOMAIN \ user4
我会假设我的Kerberos设置是好的,因为我已经join了域,并可以使用wbinfo来查看用户和组。 不过,如果有必要,我可以提供这些信息。
有人有主意吗?
从根本上说,Linux在其访问控制系统中使用UID / GID值,而Windows NT操作系统系列在其访问控制系统中使用安全标识符(SID)。
Windows Server 2003 R2 Active Directory和“Services for Unix”(提供RFC2307bis模式)可以为每个用户存储目录中的UID / GID值,Samba可以使用这些值(或者, – 我从来没有尝试过,但我已经准备好多个文档说,它运作良好)。
如果您没有将UID / GID值存储在目录服务中,则需要一种机制来确定性地映射这两种标识符系统。 “winbind”的“idmap”function通常用于执行此映射。 看看下面的文章,以获得一些function的想法: