Папка доли с realmd / sssd и AD интеграция
Я имею, устанавливают машину CentOS 7 и соединил его с нашим AD через realmd через:
yum install realmd samba-common oddjob oddjob-mkhomedir sssd
realm join --user=myuser@mydomain.local mydomain.local
После этого, realm list возвращает ожидаемый вывод
[root@webdev samba]# realm list
mydomain.local
type: kerberos
realm-name: MYDOMAIN.LOCAL
domain-name: mydomain.local
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common
login-formats: %U@mydomain.local
login-policy: allow-realm-logins
и я могу войти через SSH в использование моих AD учетных данных (таким образом, я получаю myuser@mydomain.local@hostname).
Я теперь должен позволить пользователям Windows получать доступ к папке на машине, однако Samba, кажется, не желает сотрудничать - все комбинации или имя пользователя и пароль возвращаются как неправильно. Я не знаю, как отладить это, или если я пропускаю что-то.
smb.conf файл в основном:
[root@webdev samba]# testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[vHosts]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
[global]
workgroup = MYDOMAINLOCAL
realm = MYDOMAIN.LOCAL
server string = Samba Server Version %v
security = DOMAIN
log file = /var/log/samba/log.%m
max log size = 50
load printers = No
idmap config * : backend = tdb
hosts allow = 127., 10.0.
cups options = raw
[vHosts]
comment = Virtual Host repository
path = /var/www/vhosts
valid users = MYDOMAINLOCAL\%S
read only = No
Я должен отметить, что изменил каталог ( /var/www/vhosts ) системные полномочия к 777.
Любая справка будет значительно цениться.Заранее спасибо!
Обновления:
- DC является Windows 2003 R2, клиенты являются Windows 7
- Попытались установить безопасность на обоих
adsиdomain, с подобными результатами (никакая сигара) - Сообщение об ошибке, получаемое в диалоговом окне учетных данных Windows, является "Доступом, отклонен"
- Попробованный и с отключенным брандмауэром и включил, никакое различие
- SELinux отключен
Поиск krb* пакеты:
[root@webdev logs]# rpm -qa | grep krb
sssd-krb5-common-1.11.2-68.el7_0.5.x86_64
sssd-krb5-1.11.2-68.el7_0.5.x86_64
samba-winbind-krb5-locator-4.1.1-35.el7_0.x86_64
krb5-libs-1.11.3-49.el7.x86_64
и команда производится getent passwd MYDOMAINLOCAL\myuser и getent passwd mydomain.local\myuser возвратите пробел (никакой вывод).
Отвечая на мой собственный вопрос :
единственное, что было неправильно - это раздел действительных пользователей в smb.conf - похоже, что %S вообще не сработало.
Таким образом, для группы безопасности под названием "WebDevGrp" в Windows, на CentOS она будет показана как webdevgrp@mydomain.local ( вы можете протестировать через группы myuser@mydomain.local ), а затем вы можете сделать так, чтобы Samba share был таким :
[vHosts]
comment = Virtual Host repository
path = /var/www/vhosts
public = no
writable = yes
guest ok = no
valid users = @"webdevgrp@mydomain.local"
и вам даже не будет предложено ввести пароль - все это бесшовно!
PS. при отладке Samba, добавьте log level = 3 в вашу конфигурацию, это чертовски важно!..
PPS. Я написал руководство по всему процессу - от ванильного свежеустановленного CentOS 7 до использования Samba с AD аутентификацией / авторизацией, которое вы можете найти в разделе на моем блоге здесь
Недавно мне пришлось настроить тестовую среду Windows/Samba на Fedora и Windows 2012/Windows 7 и у меня возникли похожие проблемы. После изменения этих ключей реестра на серверах/клиентах Windows все работало нормально:
HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\DomainCompatibilityMode=1
HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\DNSNameResolutionRequired=0
HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecureNegociate=0
Но... Я использовала winbind/kinit/etc. для выполнения AD-интеграции. Может быть, это вам поможет.
EDIT1 :
- Установили ли вы пакет kerberos типа: krb5-workstation krb5 -libs krb5 -auth -dialog на ваш CentOS ?
- Возвращает ли "getent passwd" вам пользователей домена windows ?