Samba: AD аутентификация для локальных пользователей
Дедупликация прибывает в ZFS на OpenSolaris, но та функциональность не в настоящее время доступна.
Это было смоделировано Jeff Bonwick и Bill Moore это прошлой зимой, и они работают над интеграцией его этим летом. Таким образом, это должно быть доступно в следующем выпуске OpenSolaris или раньше если Вы хотите играть вокруг с ответвлением разработки.
Удостоверьтесь, что winbind услуга работает.
Настроенный в Вашем/etc/pam.d/samba:
account [default=bad success=ok user_unknown=ignore] pam_winbind.so
account required pam_permit.so
password sufficient pam_winbind.so use_authtok
password required pam_deny.so
session required pam_limits.so
auth required pam_nologin.so
auth sufficient pam_winbind.so use_first_pass
auth required pam_deny.so
Изменения Pam иногда требуют перезапуска winbind. Не был должен, но практический опыт говорит, делают это так или иначе.
В smb.conf Вам также нужно:
realm = YOURKERBEROSREALMNAME
password server = the host or IP of your ADC
idmap backend = rid:DOMAIN=5000-100000000
idmap uid = 10000-10000000
idmap gid = 10000-10000000
winbind use default domain = Yes
winbind enum users = Yes
winbind enum groups = Yes
Где ДОМЕН является Вашей рабочей группой или доменным именем и соответствиями области, что находится в Вашем krb5.conf
Сервисы самбы перезапуска после изменений в smb.conf
-
1Я думаю this' ll просто дают мне поведение I don' t хотят - учетные записи UNIX на основе AD учетных данных. Я don' t хотят это; я просто хочу локального пользователя (у кого нет набора локального пароля) аутентифицироваться против AD. Можно ли объяснить, что делает конфигурация? – markdrayton 4 November 2009 в 10:22
from http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/idmapper.html#id2604553
A Samba member of a Windows networking domain (NT4-style or ADS) can be configured to handle identity mapping in a variety of ways. The mechanism it uses depends on whether or not the winbindd daemon is used and how the winbind functionality is configured. The configuration options are briefly described here:
Winbind is not used; users and groups are local:
Where winbindd is not used Samba (smbd) uses the underlying UNIX/Linux mechanisms to resolve the identity of incoming network traffic. This is done using the LoginID (account name) in the session setup request and passing it to the getpwnam() system function call. This call is implemented using the name service switch (NSS) mechanism on modern UNIX/Linux systems. By saying "users and groups are local," we are implying that they are stored only on the local system, in the /etc/passwd and /etc/group respectively.
For example, when the user BERYLIUM\WambatW tries to open a connection to a Samba server the incoming SessionSetupAndX request will make a system call to look up the user WambatW in the /etc/passwd file.
This configuration may be used with standalone Samba servers, domain member servers (NT4 or ADS), and for a PDC that uses either an smbpasswd or a tdbsam-based Samba passdb backend.
seems like if you just take winbind out of the equation things will be honkydorey assuming your AD users are the same as the local /etc/passwd users.