我很好奇,如果有可能在不使用winbind的情况下使用samba共享。 在我们当前的环境中,我们使用SSSD,Kerberos和Samba来完成必要的任务,例如joinWindows域并设置活动目录/ LDAP。 由于我们使用的是SSSD而不是winbind,我们如何设置Windows机器的samba共享来使用当前的实现进行访问呢? 我可以根据需要分享一些configuration。
我有一个Windows文件服务器,我想创buildNFS共享。 这些共享需要Windows 7域客户端和Linux客户端(Red Hat 5和6)都可以使用Samba / Winbind Active Directoryauthentication来访问。 这是我的理解,Windows有能力使用未映射和映射的身份pipe理,这意味着您的AD用户可以映射到Unix ID。 所以,当你创build一个使用映射身份的共享时,权限(我相信)是NTFS权限,但服务器查找传入的Linux用户ID并计算该UID是否应映射到具有权限的用户。 为此,我在Active Directory服务器上安装了Unix Identity Management组件。 然后,我去了我的每个用户,并修改了unix属性,以便我的Linux客户端(使用rid uid)显示UID和GID。 这是我的问题。 如果我使用映射的身份创build一个NFS共享,那么我可以使用Windows来访问文件/文件夹,但不能在Linux上使用。 文件所有者显示为数字,例如425067890,而不是适当的所有者的用户名。 我知道用户在AD中正确设置了正确的UID,并且与此号码不匹配。 如果我使用未映射的身份创build共享,则所有者将在Linux上显示为正确的用户(johndoe),但是我的Windows权限会混乱,而且这些客户端无法访问共享。 到目前为止,只有这样,我才能将其作为用户映射的共享,设置NTFS权限,然后使用nfsfile命令将共享转换为未映射的共享(nfsfile / cx c:\ myShare)。 然后我可以为Linux设置适当的所有者/组/权限。 两个客户都很开心。 在用户开始创build文件/文件夹之前,权限问题一直存在。 这太奇怪了,我知道我做错了什么。 我喜欢只使用NTFS权限,让服务器找出什么AD用户映射到什么Unix的UID。 如何使用AD身份validation为Linux客户端正确创build和pipe理Windows NFS共享?
我在Ubuntu 14.04中使用Samba 4.1.6-Ubuntu,通过它们之间的单向交叉森林信任validation来自两个域的用户。 Samba机器join到DOMAINA,而DOMAINB是受信任的域。 我的目标是允许来自DOMAINA和DOMAINB的用户在Samba机器上得到authentication。 如果我运行“wbinfo -u”或“wbinfo -g”,则只有DOMAINA的用户和组才被枚举。 因此,当我运行“getent passwd”时,只有本地用户和DOMAINA用户被列出,并且与“gentent group”相同。 但是,如果我运行“getent密码DOMAINB +用户名”,此条目出现: DOMAINB+username:*:51276:50513::/home/username:/bin/bash 如果我运行“getent group DOMAINB + groupname”,则此条目出现: DOMAINB+groupname:x:60860: 正如你所看到的,DOMAINB + groupname(DOMAINB + username)的成员不会出现。 其他信息,如果有帮助: wbinfo -m BUILTIN COMPUTERNAME DOMAINA DOMAINB wbinfo -i DOMAINB +用户名 DOMAINB+username:*:51276:50513::/home/username:/bin/bash wbinfo –group-info = DOMAINB + groupname DOMAINB+groupname:x:60860: 这里是我的smb.conf的摘录: security = ADS domain master = no idmap config * […]
我最初可以通过以下命令将一个linux盒子join到域中: sudo kinit [email protected] sudo net ads join -k 几个小时后或第二天,发生这种情况: user@host:~$ sudo wbinfo -a administrator Enter administrator's password: plaintext password authentication failed Could not authenticate user administrator with plaintext password Enter administrator's password: challenge/response password authentication failed error code was NT_STATUS_ACCESS_DENIED (0xc0000022) error message was: Access denied Could not authenticate user administrator with challenge/response 这些命令一直按预期工作: […]
我们有一个ActiveDirectory,我们从中获得用户。 所以Linux机器上的身份validation在pam上起作用。 我们pipe理这部分工作到目前为止, 但我们需要所有用户成为本地组“用户”的一部分 。 就我所了解的组映射而言,这是有效的。 我的SID是: SID for local machine MYSERVER is: S-1-5-21-1487948860-3705201071-3703638889 SID for domain MYDOMAIN is: S-1-5-21-1960408961-115176313-682003330 我创build了组映射: myserver:~# net groupmap add ntgroup="Domain Users" rid=513 unixgroup=users 组映像看起来像这样: myserver:~# net groupmap list -v Domain Users SID : S-1-5-21-1487948860-3705201071-3703638889-513 Unix gid : 100 Unix group: users Group type: Domain Group Comment : Domain Unix […]
我在Debian Jessie(samba 4.2.10)上安装了一个Samba 4 AD域控制器。 一切工作正常,除了winbind给出错误的用户/组信息。 我有一个示例用户“testuser”和一个安全组“人”。 他们的UNIX属性设置如下: 然而winbind表明了这一点: root@agnus:~# wbinfo -i testuser testuser:*:10010:100:Test User:/home/HOME/testuser:/bin/false UID匹配,但一切都是错误的。 我的smb.conf包含这个: # Global parameters [global] workgroup = HOME realm = HOME.LOCAL netbios name = AGNUS server role = active directory domain controller server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate idmap_ldb:use rfc2307 […]
我试图用PAM和Kerberos设置Winbind来对活动目录进行validationCentOS 7。 到目前为止,这是我所做的: yum -y install authconfig krb5-workstation pam_krb5 samba-common oddjob-mkhomedir yum -y install samba-winbind-modules authconfig –disablecache –enablewinbind –enablewinbindauth –smbsecurity=ads –smbworkgroup={DOMAIN-NETBIOSNAME} –smbrealm={My.DOMAINCOM} –enablewinbindusedefaultdomain –winbindtemplatehomedir=/home/{my.domain.com}/%U –winbindtemplateshell=/bin/bash –enablekrb5 –krb5realm={MY.DOMAIN.COM} –enablekrb5kdcdns –enablekrb5realmdns –enablelocauthorize –enablemkhomedir –enablepamaccess –updateall kinit -v my.username 我尝试获取Kerberos票据时收到以下错误消息: kinit:validation凭证时未find凭证caching文件“/ tmp / krb5cc_0” 所以我试了 touch /tmp/krb5cc_0 && chmod 777 /tmp/krb5cc_0 && kinit -v my.username 由此产生的错误是: kinit:validation凭据时凭据caching中的格式不正确 我也尝试创build一个本地用户与AD用户具有相同的名称,我试图用相同的结果进行身份validation。 […]
我正在使用Active Directorylogin到RHEL。 要做到这一点,我遵循这里列出的步骤: http://www.markwilson.co.uk/blog/2007/05/using-active-directory-to-authenticate-users-on-a-linux-computer.htm 我希望能够从Windows服务器共享文件夹读取数据,而不需要提示input密码。 在Windows上,我login到AD域,当我访问局域网(也是AD域的一部分)上的服务器上的Windows文件共享时,我可以访问它们没有身份validation步骤。 我在Linux上使用SMBclient来访问这些共享,但它要求input我的密码。 我希望能够脚本访问的股份上的数据,但我不能如果有一个密码提示的方式。 那么,我可以,但这不是我想要做的。 现在,由于我使用我的活动目录用户名和密码login,我不能只是访问股份,没有跳跃的额外hoop? 我知道我可以使用类似的东西来装载共享: //192.168.0.5/share/mnt/windows cifs auto,username = steve,password = secret,rw 0 0 但访问将取决于谁login…每个用户login应该有自己独特的AD访问privelages。 谢谢阅读!
使用Samba Windows 2008 R2身份validation,在新安装的CentOS 6上出现一个奇怪的问题。 login成功了,甚至创build了主目录,但是我又被扔回了login界面。 消息日志包含以下错误: Aug 22 11:35:01 linuxdevX gdm-simple-greeter[2295]: WARNING: Failed to send buffer Aug 22 11:35:02 linuxdevX NetworkManager[1151]: <error> [1314002102.259224] [nm-manager.c:1312] user_proxy_init(): could not init user settings proxy: (3) Could not get owner of name 'org.freedesktop.NetworkManagerUserSettings': no such name Aug 22 11:35:02 linuxdevX NetworkManager[1151]: <error> [1314002102.604082] [nm-manager.c:1312] user_proxy_init(): could not init […]
我们有几个使用winbind连接到Active Directory的RHEL6服务器。 所有服务器都使用configurationpipe理工具进行相同的configuration。 但是,使用groups命令和/或sudo查询组时,服务器会产生不同的结果。 然而,Getent和winbind会在所有服务器上返回正确的一致结果。 user.name1和user.name2是组test.group1的成员。 test.group1是组test.group2的成员 在所有服务器上运行以下命令是一致的: # getent group test.group1 test.group1:*:16126:user.name1,user.name2 # getent group test.group2 test.group2:*:16125:user.name1,user.name2 # wbinfo –group-info test.group1 test.group1:*:16126:user.name1,user.name2 # wbinfo –group-info test.group2 test.group2:*:16125:user.name1,user.name2 但是服务器A不正确地返回: # groups user.name2 test.group1 服务器B正确返回: # groups user.name2 test.group1 test.group2 Sambaconfiguration如下所示: winbind use default domain = true winbind offline logon = false winbind separator = + […]