我的主要目标是build立一个Samba服务器,用户可以使用他们的活动目录凭证连接到哪里。 另外,Samba-Server上的本地linux用户应该能够进行身份validation。 首先,我试图configurationSamba服务器来validation用户对Active-Directory,但不能完全弄清楚如何做到这一点。 Samba服务器版本4.2.10在CentOS 7上运行。我的Samba-Configuration如下所示: /etc/samba/smb.conf中 [全球] 工作组= AD netbios名称= clients-hostname 最大日志大小= 50 日志级别= 3 日志文件= /var/log/samba3/log.%m 映射不可信到域=是 winbind枚举用户=是 winbind枚举组=是 winbindcaching时间= 10 winbind nss info = rfc2307 winbind受信任的域只=没有 winbind使用默认域=是 winbind刷新门票=是 操作系统级别= 20 winbind枚举组=是 realm = AD.COMPANY.CPOM 安全=广告 auth方法= winbind passdb后端= tdbsam 客户端使用spnego = yes 客户端ntlmv2 auth =是 [A股] 可用=是 path= / aShare browseable =是 可写=是 […]
Debian samba服务器通过主动目录“#id username”进行身份validation,能够查找所有组ID,但只是“域用户”间歇性丢失,导致(servername \ none) # id test.user uid=16793(test.user) gid=10513(servername\none) groups=10513(servername\none),10512(domain admins),16100(accesslibrarypatiodetailsread) 有趣的是,我们有这个“域用户”组的问题,其他人仍然很好,每次发生时,“净caching刷新”将有助于解决方法(基于此Samba Winbind用户的解决scheme ),但这是肯定的不是解决scheme # net cache flush # id test.user uid=16793(test.user) gid=10513(domain users) groups=10513(domain users),10512(domain admins),16100(accesslibrarypatiodetailsread) 除了cron“net cache flush”之外,还有什么解决scheme吗? 我正在考虑一些caching设置,但不太确定
我有一个像app1.wifi.com公共url,以便我可以从任何地方访问我的url。 现在我想设置相同的url到我的本地机器。 如果我从我的LAN键入app1.wifi.com ,它应该路由到本地app1.wifi.com 。 为了达到这个目的,我尝试了下面的configuration。 我有一个Windows 7的机器,我安装了BIND9,我把那台机器IP设置为192.168.1.2,并命名为app1.wifi.com 。 它与路由器( 192.168.1.1 )相连。 在BIND conf ,我有2个向前查找区域和2个反向查找区域。 另外,我也有. 区 1)本地主机 2)0.0.127.in-addr.arpa(反向查找) 3)wifi.com 4)1.168.192.in-addr.arpa(反向查找wifi.com)。 我可以从192.168.1.2与外部网站(谷歌,雅虎…)沟通。 在路由器的另一端,我有另一台机器连接到IP为192.168.1.3的同一个networking。 在192.168.1.3 ,我将DNS服务器IP设置为192.168.1.2 。 如果我从192.168.1.3 ping app1.wifi.com ,结果是: ping app1.wifi.com. Ping request could not find host app1.wifi.com. Please check the name and try again. C:\windows\system32>nslookup app1.wifi.com DNS request timed out. timeout was 2 […]
我们已经有一些RHEL 5服务器使用Winbind / Kerberosjoin到AD中,整体运行良好。 我已经在PAM中指定了一个AD安全组来限制哪些域用户可以login。 auth requisite pam_succeed_if.so用户ingroup ad_groupdebugging 我还在sudoers中指定了相同的组,以便他们能够获得root权限。 %ad_group ALL =(ALL)ALL 这些按预期工作。 但是,我注意到,“su – ”将允许我成为不属于安全组的域用户。 假设jdoe不在“ad_group”中: [kernelpanic @ server01〜] $ sudo su – jdoe [sudo]用户密码: 创build目录'/ home / jdoe'。 创build目录'/home/jdoe/.mozilla'。 创build目录'/home/jdoe/.mozilla/plugins'。 创build目录“/home/jdoe/.mozilla/extensions”。 [jdoe @ server01〜] $ 这里是/ var / log / secure输出: 10月25日09:42:42 server01 su:pam_unix(su-l:session):通过kernelpanic(uid = 0)为用户jdoe打开的会话 10月25日09:43:53 server01 su:pam_unix(su-l:session):closures用户jdoe的会话 有没有办法将用户从“su – ”限制到不允许首先login框的域用户?
我已经在PAM中指定了一个AD安全组来限制哪些域用户可以login。 我还将AD用户的会话限制在这个组中。 这可以防止login的用户对组外的AD用户执行“su – ”操作。 Winbind uid映射configuration为使AD用户的UID> = 10000000。 这些在下面的PAMconfiguration中按预期工作。 将/etc/pam.d/system-auth auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so user ingroup AD_group debug auth requisite pam_succeed_if.so uid >= 500 quiet auth sufficient pam_krb5.so use_first_pass auth sufficient pam_winbind.so use_first_pass auth required pam_deny.so account required pam_access.so account required pam_unix.so broken_shadow account sufficient pam_localuser.so account […]
我有一个问题,让我绕圈子。 我们有14个Centos 6 AD集成服务器,使用带有idmap_ad(security = ads,idmap backend = ad)的Samba / Winbind,这个设置在其中的13个完全运行。 问题 问题在于一个服务器和一个用户。 从问题框你根本无法解决一个特定的用户。 该用户从所有其他服务器解决。 尝试解决问题服务器时的结果: # id username id: username: No such user # wbinfo -i username Could not get info for user username 尝试在良好服务器上parsing时的结果: # id username uid=12830(username) gid=100(users) groups=100(users) # wbinfo -i username username:*:12830:100:User Name:/home/username:/bin/bash 尝试解决scheme 我已经停止winbind和SMB,并清除winbindcaching(winbindd_cache.tdb&winbindd_cidmap.tdb)再次启动它们 – 没有快乐 我已经用-n开始winbind执行直接查找 – 没有喜悦 […]
按照这个指南 ,我试图设置FreeRADIUS来对Active Directory进行身份validation。 当我以明文forms发送密码时(使用DEFAULT Auth-Type = ntlm_auth方法),我可以得到一个Access-Accept消息。 但是,我想使用mschapv2,所以密码不是以纯文本格式发送的。 当我这样做的时候: radtest -t mschap user pass 10.10.1.21 0 d34db33f 我得到: Sending Access-Request Id 144 from 0.0.0.0:41971 to 10.10.1.21:1812 User-Name = 'user' NAS-IP-Address = 10.10.7.178 NAS-Port = 0 Message-Authenticator = 0x00 MS-CHAP-Challenge = 0xc118ac9d5a2fbfd0 MS-CHAP-Response = 0x00010000000000000000000000000000000000000000000000003f0b91a63532bc231468ae3034fa0788e64e28efa4832ecf Received Access-Reject Id 144 from 10.10.1.21:1812 to 10.10.7.178:41971 length 38 MS-CHAP-Error […]
我正尝试使用samba4将RHEL6服务器join到域中。 networking广告join正常工作,join成员不过。 有效地,wbinfo –getdcname不起作用,因为wbinfo –dsgetdcname会。 如果能够区分这些命令之间的区别,那将是非常有帮助的。 Samba3上的联接成功,并且按照预期工作,除了嵌套组 [root@sent-test-smg2 – (11:51:01) samba]# net join member -U smg Enter smg's password: Failed to join domain: failed to find DC for domain member ADS join did not work, falling back to RPC… Unable to find a suitable server for domain SENT Unable to find a suitable server for […]
在干净安装的centos-7主机上: realm join -U foo –client-software sssd AD.EXAMPLE.COM 运行realm list输出看起来像这样: AD.EXAMPLE.COM type: kerberos realm-name: AD.EXAMPLE.COM domain-name: ad.example.com configured: kerberos-member server-software: active-directory client-software: sssd required-package: oddjob required-package: oddjob-mkhomedir required-package: sssd required-package: adcli required-package: samba-common login-formats: %[email protected] login-policy: allow-realm-logins 告诉我,我已经按照我的意愿join了一个活动目录。 后来(不知道是什么触发或它…系统重新启动保证,但其他的事情似乎也可以 – 也许一个桑巴重启?),领域列表输出更改为此 ad.example.com type: kerberos realm-name: AD.EXAMPLE.COM domain-name: ad.example.com configured: kerberos-member server-software: active-directory client-software: winbind required-package: […]
我有一个运行Debian Squeeze的Postfix邮件服务器。 saslauthd支持安全SMTP的SASLauthentication,它依赖于依赖于winbind的pam。 这种模式似乎每隔几个星期就会重复一次: 最初,/var/log/auth.log中没有错误 – postfix SMTP正常运行 一周或更长时间后,日志中会出现错误: 12月5日15:45:22 myhostname saslauthd [32586]:PAM无法启动(/lib/security/pam_winbind.so):/lib/security/pam_winbind.so:无法打开共享目标文件:打开的文件过多Dec 5 15 :45:22 myhostname saslauthd [32586]:PAM添加错误的模块:/lib/security/pam_winbind.so 12月5日15:45:22 myhostname saslauthd [32586]:PAM无法dlopen(/lib/security/pam_deny.so):/lib/security/pam_deny.so:无法打开共享对象文件:打开的文件过多 十二月5 15:45:22 myhostname saslauthd [32586]:PAM添加错误的模块:/lib/security/pam_deny.so Dec 5 15:45:22 myhostname saslauthd [32586]:PAM _pam_load_conf_file:无法打开/etc/pam.d/common-auth Dec 5 15:45:22 myhostname saslauthd [32586]:PAM error loading(null) 十二月5 15:45:22 myhostname saslauthd [32586]:PAM _pam_init_handlers:错误读取/etc/pam.d/other Dec 5 15:45:22 myhostname saslauthd [32586]:PAM […]