我正在将域configuration迁移到另一台服务器,我能够连接到域,并login,加上我的X:驱动器,这只是用户主驱动器。 以前的机器是由其他人build立的,但我发现该域使用login脚本。 我发现这些脚本,并在新服务器上编辑它们以反映命名更改。 当我login到客户端PC上的域名时,我没有得到我期望的共享映射。 我的smb.conf看起来像这样 [global] idmap gid = 15000-20000 obey pam restrictions = yes admin users = @admins, fstetson, jeff, mdecota time server = yes idmap uid = 15000-20000 logon script = default.cmd [netlogon] comment = Network Logon Service path = /etc/samba/netlogon/%g guest ok = Yes browseable = No 我的login脚本default.cmd看起来像:net use h:\ avalanche \ […]
一些GNU / Linux发行版(CentOS的想法)有一个整洁的身份validationconfiguration工具,您可以在其中指定使用哪些auth方法(文件,NIS,Winbind等)。 你指定了所需的参数(例如领域,服务器地址),它为你做了一切。 Linux Mint Debian Edition似乎没有一个。 我试图让LMDE Betsy客户端loginSamba的经典PDC(而不是AD)已经工作得很好的Windows客户端。 看来我不得不做相当数量的陷阱 – 缠身configuration编辑 。 更糟糕的是,Samba Wiki只有joinAD的指令,而不是PDC 。 在这个发行版中是否有一个更简单,已经脚本化的方式来做到这一点? 我没有find一个正确的工具,在我的鼻子前? [编辑]进度:我已经到了wbinfo -u列出域用户的地步,但是getent passwd没有,我不能和域用户一起login。 我对非Samba文件做的唯一修改就是将winbind包含在nsswitch.conf中: passwd: compat winbind group: compat winbind 这是我的smb.conf: [global] netbios name = MAQUINA128 workgroup = PCOMLAB realm = PCOMLAB.INTRANET security = domain dns proxy = no log file = /var/log/samba/log.%m max log size […]
我已经升级到samba4(4.3),现在我可以使用samba-tool创build用户,将它们添加到组中,但是我无法设置用户帐户的unix属性。 我试着环顾桑巴工具,但我还没有find任何方法来做到这一点。 SSSDconfiguration为只显示具有所有定义的属性的帐户,我只能使用Windows rsat添加它们。 如何从命令行设置用户uid和主要组的samba帐户?
使用案例:我试图在系统( A )中build立一个单独的Samba共享,应该可以从同一networking中的另一个系统( B )自由访问。 A使用Samba 4守护进程运行CentOS 7。 B运行Windows 7专业版。 我用这些参数在A中设置了份额: path = /home/MYUSER/dir force user = MYUSER force group = MYUSER read only = No create mask = 0644 force creater mode = 0644 force directory mode = 0755 guest ok = Yes 并映射到guest = bad用户。 我添加了正确的SELinux上下文(或禁用SELinux,没关系)。 现在,在共享path中,只有MYUSER具有写权限,并且这也是所有子目录所需的权限掩码,如configuration。 但是因为我强迫文件被samba写成MYUSER:MYUSER (即使我们将作为guest来访问),那应该不成问题,对吧? 错误。 当我在B上安装共享时,我无妨地看到它,浏览它或阅读其中的文件。 但是,所有写入操作都被拒绝,因为不允许。 如果我chmod […]
我们正在使用freeradius&winbindd为了validation我们的EDUROAM Wifi用户对Active Directory域。 这是一种魅力,但是我们每小时几乎每两个小时(在工作时间,上午十点,十二点和上午十点) 在我们的mschapconfiguration中,我们正在调用一个脚本 ntlm_auth = "wrap_ntlm_auth.pl challenge %{%{Stripped-User-Name}:-%{%{User-Name}:-None}} %{mschap:Challenge} %{mschap:NT-Response} %{%{Calling-Station-ID}:-none}" 这个脚本基本上实现了阻止机制和用户名的映射。 最后它调用ntlm_auth,这是winbindd: ntlm_auth –use-cached-creds –username='%s' –password='%s' 要么 ntlm_auth –use-cached-creds –request-nt-key –username='%s' –challenge='%s' –nt-response='%s' 取决于是否使用密码或质询authentication。 我们感到非常困惑,为什么身份validation过程每两小时需要相当长的时间。 在我们的设置中是否有明显的错误/任务优化? smb.conf for winbindd: [global] workgroup = DOMAIN server string = %h server dns proxy = no log file = /var/log/samba/log.%m max log size = 1000 # […]
我有一台Debian Samba文件服务器作为成员服务器绑定到Active Directory。 我们为每个在该服务器上与其用户名匹配的员工创build一个员工文件夹 当员工退出时,他们的Active Directory用户帐户被取消激活并移动到停用的用户OU。 我想以编程方式删除已离职员工的员工文件夹,但找不到可区分在职员工和停用员工的工具。 我曾尝试过:“wbinfo –verbose -i”和“id”命令。 有没有人知道一个Linux命令,我可以用它来确定一个员工是否处于活动状态或停用状态,或者替代状态是一个用户账户所在的OU。
我有一台在我的networking上运行Debian Jessie 8.7的Filer Server,使用Samba 4.2.14。 到目前为止,我只有一个共享文件夹configuration为整个networking,我想看看这个共享上是否有打开的文件。 运行smbstatus -L ,不会指出任何有关打开文件或locking文件的信息 。 $ smbstatus -L Registered MSG_REQ_POOL_USAGE Registered MSG_REQ_DMALLOC_MARK and LOG_CHANGED No locked files 使用lsof ,它只能给我关于在服务器的本地文件系统上使用共享文件夹的过程的信息。 $ lsof | grep backup smbd 1432 root cwd DIR 8,9 4096 2 /backup/local 也使用fuser ,它不提供有关打开文件或locking文件的任何信息。 它只显示使用服务器的本地文件系统上的共享文件夹的sPID。 $ fuser /backup/local /backup/local: 1432c 还有其他一些选项来跟踪打开的文件,如: 使用Shellscript,列出所有扩展名为.doc,.docx,.xls,.xlsx等的文件,然后制作一个if [ -f ".~lock.new_document.docx#" ] ; then if […]
我最近inheritance了维护我们的Samba域控制器的责任,这个控制器主要用于pipe理日志到域中,并作为一个安全的文件共享。 这个系统的初始configuration并不完全知道,因为在我join这个组之前就已经configuration好了,而且由于最近出现了一些意外的人员变动,我离开了一个服务中断的系统,关于。 服务器运行Ubuntu 16.04,并使用samba来模拟Windows Active Directory(我想我正在使用正确的术语)。 如果需要,我很高兴发布configuration文件或其他相关信息。 我发现我无法将新机器join到域中,而且login到该域下的Windows机器似乎是依赖于caching凭据,密码更改不会反映在不同的机器上。 我去挖掘,我最初的发现是,在服务器机器的启动,其中一个服务显示无法启动。 查看日志文件kerberos 5密钥分发服务失败。 Kerberos服务已经打破了好几个月似乎。 我遵循一个非常有用的指导来configuration一个新的kerberos域,链接在消息的底部。 我按照指南重新安装了kerberos 5服务器,现在服务已经正确地在启动时正常启动,并且通过跟踪指南所build议的日志文件的跟踪,我可以看到它正在与networking上的其他计算机通信,我可以看到各种计算机进行login尝试,由于没有计算机名称在主目录列表失败。 (这是另一个较低优先级的问题,因为当我重新安装时,我认为旧的主体文件被覆盖,不知道这是一种可能性,找出这些计算机在自动尝试重新连接时发送的密码将允许我将它们添加到校长用正确的密码来解决这个问题)当我尝试login在join到域的机器的Windows 7login页面,当事情还在工作时,我可以在服务器上实时看到它的踪迹terminal读出。 但是,并不是一切都好。 当我尝试login仍join域的terminal时,核收到来自用户名@ MSAE的login名,并且未能find匹配项,因为域名为msae.wisc.edu,因此找不到匹配项用户名。 这有点让我感到困惑,因为在域名下的窗口中列出了“msae.wisc.edu”,但在login时,域名为“MSAE”login尝试缺乏必要的“.wisc.edu”以完全匹配在校长列表中find。 我不知道如何继续。 我曾尝试使用msae.wisc.edu/usernamelogin,强制域读取“msae.wisc.edu”,这会导致“服务器上的安全数据库没有此工作站信任关系的计算机帐户”当发送正确的密码时,在Windows机器上的消息,并在服务器上,我看到: Jun 22 13:09:10 nucleus.msae.wisc.edu krb5kdc[1040](info): AS_REQ (6 etypes {18 17 23 24 -135 3}) 128.104.185.62: ISSUE: authtime 1498154950, etypes {rep=18 tkt=18 ses=18}, [email protected] for krbtgt/[email protected] 我也尝试添加一个新的条目,只有MSAE作为域的主体,即username @ MSAE,而不是所有其他的读取[email protected]。 当我login时,没有指定域(即使用窗口中显示的默认MSAE域),我得到以下错误: REFERRAL: username@MSAE for […]
好的,所以我有一台Samba服务器pipe理一个windows域,并且运行了很长时间,但是我最近重新安装了bind,这似乎已经破坏了Samba的DNS。 我有这样的情况:使用samba-tool的DNS查询工作正常,但使用“host”或“nslookup”命令不会: $ samba-tool dns query localhost sodrakalland.local debora A -U Administrator Password for [SODRAKALLAND\Administrator]: Name=, Records=1, Children=0 A: 172.24.57.6 (flags=f0, serial=110, ttl=1200) $ host debora Host debora not found: 3(NXDOMAIN) $ nslookup debora Server: 172.24.57.2 Address: 172.24.57.2#53 ** server can't find debora: NXDOMAIN 任何想法,为什么这可能是? 这是我的DNSconfiguration: $ cat /etc/bind/named.conf include "/usr/local/samba/share/setup/named.conf.dlz"; $ cat /usr/local/samba/share/setup/named.conf.dlz dlz […]
所以我现在已经有相当一段时间在基于Samba的域控制器上运行我的Active Directory基础设施。 而大多数情况下它是伟大的! 但是我遇到了一个小问题。 似乎没有人logging或注意到我search的任何地方。 但是,如何让运行Samba的主机使用Samba对自身进行身份validation? 那么就像在Windows域控制器上使用域凭证login自己一样?