我们使用Samba和WinBind的组合允许在Ubuntu 12.04机器上进行ADlogin。 我们也使用Samba作为文件服务器。 我们不希望Samba文件共享为ADlogin工作,而只是我们指定的本地login。 目前,当AD用户试图通过Samba查看文件时,他们可以看到我们的一个共享中的所有内容。 当他们尝试写更改时,他们被拒绝,但是。 这是第一个问题。
第二个问题是,我们有一个本地用户在与AD用户名称相同的框中,看起来当它login到Samba共享时,它使用AD帐户,无法将更改写入文件系统而不是logging作为本地用户。
这是我的smb.conf:
[global] workgroup = DOMAIN server string = t-u12-dev1 netbios name = t-u12-dev1 dns proxy = no password server = domainserver.com realm = DOMAIN.COM local master = no log file = /var/log/samba/log.%m max log size = 1000 syslog = 0 panic action = /usr/share/samba/panic-action %d wtmp directory = /var/log utmp = yes utmp directory = /var/run security = ads client ntlmv2 auth = yes ntlm auth = no guest account = nobody restrict anonymous = 2 idmap backend = tdb idmap uid = 16777216-33554431 idmap gid = 16777216-33554431 idmap config AD:backend = rid idmap config AD:range = 100000-999999 template shell = /bin/bash template homedir = /home/%D/%U winbind separator = + winbind use default domain = yes winbind offline logon = true winbind enum users = no winbind enum groups = no winbind refresh tickets = true smb ports = 445 socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 load printers = no [sites] writeable = yes path = /sites comment = $HOSTNAME browseable = yes guest ok = no 如果我做一个sudo pdbedit -L -v ,我只能看到一个本地帐户,我想能够访问Samba文件共享。
我可以更改什么,以便我的ADlogin保持工作,但不用于Samba文件共享身份validation?
如果您不希望将ADlogin用于与Samba相关的任何操作,您是否可以将Samba安全模式更改为“用户”甚至是“共享”级别的权限? 这样,您可以利用Samba的内置帐户,但保留ADlogin的东西。 或者,也许我误解了你在哪里问。
我在我的服务器上有本地帐户,但是我也使用AD作为Samba。 我最终做的是通过在这些共享上使用这些参数,将这些共享资源阻塞到具有AD权限的组级别:
valid users = "+AD\Group Name" force group = "+AD\Group Name"
这样其他用户甚至不能浏览股份的内容。 它似乎也是为了尊重嵌套组织,所以我们可以把这些AD组织成为其他组织的成员,这样我们就可以向用户开放。