所以我有一个旧的NT域名,和一个品牌崭新的Windows 2008 R2域名。
而我从旧的服务器切换到新的,我们有这个问题。
我们有第三个服务器(运行samba),它作为我的用户的文件服务器/远程存储。
我能做的任何事情,使桑巴服务器允许任何域名的人login? 我已经尝试在他们之间build立一个信任,但是这并没有奏效。 (不能创造信任)
由于Windows 2008 R2的组合,考虑到WinNT安全协议不安全且森林function级别高于Server 2000兼容性,您的信任失败。 由于这是一个全新的2008r2域,您的function级别在Server 2008 R2。 据我所知,你不能降级,所以你卡住了。
桑巴可以做到这一点,但答案并不美观,并不安全。 诀窍是让pam处理Samba连接。 最主要的缺点是密码传输清晰,一些Windows版本(比XP更新)不允许没有明确的configuration。
您必须将winbindconfiguration为与NT域交谈,然后使用LDAP来searchActive Directory域。 然后将pam_winbind和pam_ldap设置为足以login。 最后configurationSamba使用pam('obey pam restrictions'指令)。 您还必须确保将NT域中的帐户迁移到2008r2域后才能将其删除,否则PAM可能会select错误的帐户进行身份validation。 完成之后,您可以将Samba正确地join到2008域中,撤销pam指令,并且密码将再次保密。
这是丑陋的,但它可能会工作。