Мы используем комбинацию Samba и WinBind для разрешения AD логинов на машине Ubuntu 12.04. Мы также используем Samba в качестве файлового сервера. Мы не хотим, чтобы доли файла Samba работали на AD логины, но только локальные логины, которые мы указываем. В настоящее время, когда AD пользователь пытается просмотреть файлы по Samba, они видят все в нашей одной доле. Когда они пытаются записать изменения, им отказывают, как бы то ни было. Это - номер выпуска один.
Номер выпуска два - то, что у нас есть локальный пользователь на поле, которое имеет то же имя как AD пользователь и по-видимому когда оно входит в систему доли Samba, оно использует AD учетную запись и не может записать изменения в файловой системе вместо того, чтобы войти в систему как локальный пользователь.
Вот мой smb.conf:
[global]
workgroup = DOMAIN
server string = t-u12-dev1
netbios name = t-u12-dev1
dns proxy = no
password server = domainserver.com
realm = DOMAIN.COM
local master = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
wtmp directory = /var/log
utmp = yes
utmp directory = /var/run
security = ads
client ntlmv2 auth = yes
ntlm auth = no
guest account = nobody
restrict anonymous = 2
idmap backend = tdb
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
idmap config AD:backend = rid
idmap config AD:range = 100000-999999
template shell = /bin/bash
template homedir = /home/%D/%U
winbind separator = +
winbind use default domain = yes
winbind offline logon = true
winbind enum users = no
winbind enum groups = no
winbind refresh tickets = true
smb ports = 445
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
load printers = no
[sites]
writeable = yes
path = /sites
comment = $HOSTNAME
browseable = yes
guest ok = no
Если я делаю a sudo pdbedit -L -v
, Я только вижу одну локальную учетную запись, что я хочу смочь получить доступ к доле файла Samba.
Что я могу изменить так, чтобы мои AD логины продолжали работать, но не использовались для аутентификации доли файла Samba?
Если вы не хотите, чтобы AD логины использовались для чего-либо, связанного с Samba, можете ли вы изменить режим безопасности Samba на "пользовательский" или даже на "общий" уровень разрешений? Таким образом, вы можете использовать встроенные аккаунты для Samba, но сохранить AD-файлы для входа в систему. Или, может быть, я неправильно понял, о чем вы спрашиваете.
У меня есть локальные аккаунты на серверах, но я также использую AD для Samba. В итоге я блокирую аккаунты до группового уровня с разрешениями AD, используя эти параметры на аккаунтах:
valid users = "+AD\Group Name"
force group = "+AD\Group Name"
Таким образом, другие пользователи даже не могут просматривать содержимое аккаунтов. Похоже, что мы тоже уважаем вложенные группы, чтобы мы могли управлять AD группами, принадлежащими к другим группам, и таким образом быть очень подробными в том, что мы открываем для пользователей.
Добавьте следующее в настройки общего доступа
[Example]
comment = Tooltip seen when hovered over the drive
path = path/to/you/shared/folder
read only = no
browsable = yes
available = yes
valid users = YOUR VALID USER NAME HERE
public = no
writable = yes