我记得早在Windows NT的日子里,您可以创build“空白”的计算机帐户,以便任何人都可以将该名称的计算机join到域中。 我想用Active Directory做同样的事情。 特别: 为会员或RODC创build一个“空白”计算机帐户 无需交互就可将计算机join域 我试图解决的问题是我有1,400 samba4服务器,我需要作为RODCjoin域。 我真的,真的不想input密码1400次。 我希望它是适当的自动化(木偶/厨师/无论)。 也许我可以用kssh和Kerberos票据转发解决这个问题? 打开想法。
我使用samba4域帐户login我的笔记本电脑。 我想试试zsh ,但由于我的用户不在/etc/passwd我发现chsh找不到我的用户。 任何人都可以build议我怎样才能改变我的login_shell ? 我在ldap.conf , nssswitch.conf或者/etc/pam.d中的任何帮助都看不到任何东西… 看着域控制器,我想也许我可以使用samba-tool,但是我没有看到任何帮助,指出了我正确的方向。
我可以使用SAMBA创build一个域,并使用SAMBA设置Active Directory吗? 而我的意思是没有涉及的Windows服务器。 我也想能够从Windows机器login。 最好在OpenSuSE上。 我的目标是像AD一样拥有集中式身份validation的域。 我希望能够使用Windows和Linux计算机login。 我怎样才能在SAMBA做到这一点? 如果Samba4不是一个可行的解决scheme,你们还有什么其他解决scheme?
在过去的几天里,我玩过Samba4。 我创build了一个新的域名,一些共享和一切正常。 至less在我使用windows的时候。 我们有一些OSX客户,我正在用狮子testing股票。 现在的问题是:使用Windows可以读取和写入文件和文件夹,但是当我通过OSX连接时,我可以读取和删除所有内容,创build和编辑文件夹,但是我不允许创build或编辑文件。 在这个时候,我正在使用应该拥有所有权限的pipe理员用户进行testing。 到目前为止我所做的是: 在smb.conf中创build共享“writable = yes” 将文件系统权限设置为777(文件系统支持acls) 通过Windows为所有“域用户”设置权限以完全控制 我是否需要为OSX设置一些特殊权限? 什么错误是,似乎有区别的文件和文件夹… 问候Gewürzwiesel
我们目前有一个NAC服务器设置为使用ntlm_auth实用程序对Samba4 AD进行身份validation,并希望使其更容忍networking中断。 目前,当NAC失去与Samba4 Active Directory的连接时,每个login尝试都失败。 这种情况曾经是可以接受的,但现在我们的networking拓扑结构已经发生了变化,问题变得更加严重 根据Samba文档,我在NAC的smb.conf和Samba4 AD中添加了“winbind offline logon = true”。 为了testing脱机身份validation,我添加了两个iptables规则,将所有stream量都删除到Samba4 Active Directory服务器。 当我尝试使用winbind进行身份validation时,它按预期工作: 16:52:11-root@hq-networkserv@- /var/log/samba: wbinfo -K COMPANY\\super-user%superpassword plaintext kerberos password authentication for [COMPANY\super-user%superpassword] succeeded (requesting cctype: FILE) user_flgs: NETLOGON_CACHED_ACCOUNT credentials were put in: FILE:/tmp/krb5cc_0 另一方面,如果我使用以下选项尝试使用ntlm_auth,则失败: 16:52:35-root@hq-networkserv@- /var/log/samba: ntlm_auth –use-cached-creds –username=super-user –password=superpassword –domain= COMPANY NT_STATUS_NO_LOGON_SERVERS: No logon servers (0xc000005e) NAC服务器连接到Samba4域,只要保持连接,一切都可以正常工作。 我明白,这个build议的解决scheme只允许authentication以前authentication的客户端,但这已经是一个很大的改进。 有没有什么办法可以让ntlm_auth在无法连接到AD的期间成功进行身份validation,因为winbind能够做到这一点?
任何人都可以解释,如何解决这个问题,从isc-dhcp内部samba4 DNS和dynamic区域更新? 在日志中我有: dhcpd:无法从170.5.168.192.in-addr.arpa添加反向映射。 到dus-ws-21a.nmedia.local:tsigvalidation失败 Samba4作为域控制器很好,我只从区域更新中得到错误。 但是Google什么都不给。 我试图按照这个手册: ISC的DHCPD:dynamicDNS更新对安全的Microsoft DNS ,但我有: 执行:/root/shell/dhcp-dyndns.sh退出状态512 如何解决这个问题呢?
我有一个OpenLDAP服务器,用于各种服务的身份validation和授权。 所有用户都是对象typesinetOrgPerson ,我的组是groupOfNames 。 现在我想configurationSamba以对LDAP进行身份validation(使用基于组的授权)。 我不能/不希望使用samba作为域控制器,而只是作为文件服务器。 我也不想在Samba中单独pipe理用户帐户,因为我拥有LDAP(用户名,密码,组成员资格)所需的所有信息。 我也想避免改变我的DIT。 据我目前的研究,我可以告诉我不能直接这样做,因为 a)Samba使用自己的凭证存储进行身份validation,这意味着我必须为每个现有的LDAP用户smbpasswd b)我的LDAP用户必须具有samba属性 在环顾四周之后,我怀疑我的问题的解决scheme可能是在samba和LDAP之间使用Kerberos。 我没有pipe理Kerberos的经验,所以在做出努力之前,我想澄清下列主题: 我的假设是否正确? 我可以在一台机器上运行Kerberos的身份validation服务器和密钥分发中心,并将其configuration为仅在本地主机上提供授予票证? (OpenLDAP和samba在同一台机器上运行) Kerberos的使用是否允许我保持我的DIT不变并仅使用LDAP中的信息执行身份validation/授权? 有更好/更简单的解决scheme吗? 我在Ubuntu服务器14.04上。 提前感谢任何提示
自从我们大约3年前在主要办公室和所有远程站点推出了10个Samba4域控制器以来,我们一直在努力争取相当长的一段时间。 简化的电streamconfiguration: 2个主要站点的DC使用子域ad.companyname.com进行内部DNS 2 BIND CentOS服务器服务于所有的内部networkingDNS请求 – 主区域:companyname.com 2 BIND CentOS服务器服务所有外部站点的DNS请求 – 主区域:companyname.com 在这种configuration中,我们已经configuration了内部BIND服务器,让S4 AD DC内部DNS作为ad.companyname.com的权威,因此连接到BIND服务器的客户端可以解决Samba需要的任何东西。 这允许LAN上的所有客户端机器parsingAD创build的任何dynamicDNS地址,join域等,并且在configuration新的DC时很容易configuration。 (这对很多DC来说很重要)。 当我们configuration绑定到域的服务器时,客户端通过在主BIND DNS服务器上configuration的DNS条目来访问它们,因此它们具有像hostname.companyname.com这样的地址,客户端用来连接到服务器/服务。 他们也有由S4内部DNS创build的ad.companyname.com主机名,但是我们不指出这些名字的客户。 问题: 当绑定到AD时,一些服务(主要是我们目前注意到的OS X服务器)似乎不希望让客户端指向与samba子域名不同的DNS名称。 例如: OS X 10.11(也试过10.6)绑定到AD的服务器,运行SMB文件服务器: 连接到fileserver.companyname.com时 用户必须authentication为ad.companyname.com \短名称或 用户必须authentication为[email protected] 使用AD \ shortname不起作用 连接到fileserver.ad.companyname.com时 用户可以authentication为短名称 另一个例子: OS X Server 10.11绑定到AD,运行Profile Manager: 用户只需使用短名称即可对PHP Web界面进行身份validation 用户在使用AD凭证在iOS设备上注册时无法进行身份validation 笔记: 在第一个例子中,一个解决scheme是简单地将客户端指向fileserver.ad.companyname.com,但是pipe理层对这种想法是有抵制的。 在configuration文件pipe理器MDM的第二个示例中,服务器位于DMZ上,以便校外客户端仍连接到MDM,同时具有内部和外部DNS条目,因此面向公众的ad.companyname.com地址不是一个很好的select。 问题: build立一个WINS服务器的帮助吗? 将设置一个默认的search域从DHCP帮助? 有一种方法可以让Samba4 AD-Joined主机在基本域上有一个域名(实际上,不仅仅是指向相同IP的BIND上的单独logging)? 如果是这样,是否有可能与内部DNS做到这一点? […]
对于运行Windows 8.1的几台(〜5台)个人电脑,我必须在Ubuntu 16.04服务器上使用Samba4来设置域控制器。 此外,DC应提供几个具有用户特定访问权限的共享文件夹,并充当打印机服务器。 为了防止数据损坏,我考虑在镜像模式下使用ZFS来存储共享文件夹的内容,但是查看ZOL参数“acltype”的可能值,我感觉到Linux上的ZFS只实现了POSIX ACL。 这反过来会使我的计划变得不可能,因为根据[1] Samba4 AD DC需要NFS ACL,并且我没有其他机器可用作Samba文件服务器(这个限制不存在)。 有没有什么我可以做的使用ZFS,或者我必须使用不同的文件系统,例如Btrfs(我不知道它是否足够成熟的生产使用)? 提前致谢。 [1] https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domain_Controller#Using_the_Domain_Controller_as_a_File_Server 编辑@zoredache:我已经想过这样做,但我不知道是否有可能是一个问题,如果只有在NAS完成启动过程后DC才可用。 说实话,ZFS由于其所有function而具有吸引力,但我并不认为这是必要的。 只是想防止点腐,但我相信有其他select… @ewwhite不幸的是,由于成本的原因,Windows Server不是一种select – 我为一个小型慈善机构设置了这个东西。
我正在运行Samba 4作为AD服务器。 一切正常,旁边的一个小组的成员没有列出getent group : # getent group …snip… LOCAL\Enterprise Read-Only Domain Controllers:*:3000040: LOCAL\Domain Admins:*:512: LOCAL\Domain Users:*:513: LOCAL\Domain Guests:*:3000012: LOCAL\Domain Computers:*:3000018: LOCAL\Domain Controllers:*:3000034: LOCAL\Schema Admins:*:3000007: LOCAL\Enterprise Admins:*:3000006: LOCAL\Group Policy Creator Owners:*:3000004: LOCAL\Read-Only Domain Controllers:*:3000041: LOCAL\DnsUpdateProxy:*:3000042: 但是它们是通过id工具列出的: $ id Administrator uid=3000000(LOCAL\Administrator) gid=513(LOCAL\Domain Users) \ groups=513(LOCAL\Domain Users),3000004(LOCAL\Group Policy Creator \ Owners),3000006(LOCAL\Enterprise Admins),512(LOCAL\Domain \ Admins),3000007(LOCAL\Schema Admins) 我需要这个在smb.conf设置组权限。 我需要这个,因为共享本身的Windows资源pipe理器的权利设置不起作用。 […]