Samba 3.6 на AIX 7.1 - Windows 10 Доступ к файловым ресурсам AIX с помощью аутентификации Active Directory
Я использую AIX 7.1, и в настоящее время на сервере установлена samba 3.6.25. В настоящее время некоторые папки AIX находятся в общем доступе, к которым могут получить доступ определенные пользователи Windows. Kerberos в настоящее время не установлен на сервере.
Проблема в том, что с Windows 10 гостевая функция больше не работает, поэтому пользователям приходится вручную вводить логин/код Windows, прежде чем они смогут получить доступ к общим дискам. Они получают всплывающее окно с просьбой войти в систему. Ранее пользователи могли подключаться к общим файловым ресурсам AIX без необходимости вводить имя пользователя/пароль.
Мое требование: Мне нужно переконфигурировать samba так, чтобы небольшая группа пользователей Windows из определенной группы в Active Directory могла получить доступ к этим общим папкам на AIX без необходимости вводить логин и пароль. Samba должна распознать пользователя, под которым они в данный момент вошли в Active Directory, и разрешить им доступ к папке, если они являются членами нужной группы доступа.
Мой текущий smb.conf выглядит следующим образом:
рабочая группа = домен
поддержка побед = да
безопасность = пользователь
файл журнала = /var/log/samba.log
протокол = SMB2
min protocol = SMB2 ## Это пришлось добавить, чтобы машины Windows 10 могли получить доступ к общему ресурсу, поскольку SMB1 не поддерживается
[Файловый ресурс] путь = /filetoshare/здесь принудительный пользователь = root только чтение = нет публичный = да guest ok = no
Из моих первоначальных исследований я понял, что мне нужно изменить безопасность с пользовательской на ADS, установив security = ADS. Это позволит мне использовать Active Directory для аутентификации пользователей. К сожалению, после проверки журналов nmbd кажется, что эта настройка не распознается этой версией Samba 3.6...
WARNING: Ignoring invalid value 'ADS' for parameter 'security'
Ignoring unknown parameter "realm"
Возможно, Samba 3.6 не поддерживает ADS. В этом случае есть ли у меня другие варианты с Samba 3.6, которые позволят мне аутентифицироваться в домене Windows, работающем на Windows Server 2012? Я вижу, что есть также серверная настройка домена - server = domain. Я понимаю, что имя машины AIX нужно будет добавить в сервер active directory в разделе machines, я полагаю?
При просмотре добавления Samba в домены была ссылка на команду "net ads -u Username" Я получаю другую ошибку.
ADS support not compiled in
Я предполагаю, что это означает, что я не могу использовать опцию домена, что предполагает, что мне нужна более новая версия Samba.
Я просмотрел множество форумов по AIX, но не смог найти предварительно скомпилированную версию samba 4 для AIX 7.1. Это был бы самый безопасный способ обновления. К сожалению, на этой машине AIX не установлены GCC, WGET, YUM, поэтому компилировать из исходников будет сложно. Если бы это был Ubuntu, я бы просто запустил apt-get install samba, но AIX - это другой зверь. Также кто-нибудь может подтвердить, нужно ли мне также установить Kerberos, чтобы это работало?
Мне было бы интересно узнать, работает ли это у кого-нибудь. Любые предложения по помощи в этом проекте будут приняты с благодарностью. Спасибо.
Используйте репозиторий AIX Toolbox для загрузки последней доступной версии SMB для AIX.
Ссылки по теме:https://www.ibm.com/developerworks/community/forums/html/topic?id=97038d17-97b7-4304-a5a5-4d5b81266c5e
Используйте yum.sh (упоминается в ссылке), чтобы установить yum на вашу AIX, если он еще не установлен, и использовать его для простого обновления всех ваших пакетов из официального репозитория.
Мне удалось решить эту проблему несколько месяцев назад с помощью
1) Обновленный RPM до последней версии, так как я обнаружил, что текущая версия RPM не позволяет мне устанавливать необходимые RPM-пакеты.
Перейдите на ftp: //public.dhe.ibm.com/aix/freeSoftware/aixtoolbox/INSTALLP/ppc/ и загрузите rpm.rte
Запустите smit и установите с помощью меню установки программного обеспечения
2) Загрузите пакет YUM
Загрузите пакет YUM из следующего места https://public.dhe.ibm.com/aix/freeSoftware/aixtoolbox/ezinstall/ppc/yum_bundle.tar
Запуск smit и установка с помощью меню установки программного обеспечения
После установки yum мне удалось установите Samba и другое необходимое программное обеспечение следующим образом
yum install samba.ppc krb5-server.ppc krb5-workstation samba-winbind-krb5-locator.ppc samba-winbind-devel.ppc libsmbclient-devel.ppc openldap-devel.ppc samba-winbind.ppc samba-winbind-clients.ppc samba-libs.ppc
Теперь переместите библиотеку WINBIND в правильную папку
mv /opt/freeware/lib/WINBIND.so / usr / lib / security cd / usr / lib / безопасность mv WINDBIND.so WINBIND chown root: security WINBIND
Kerberos
1) kinit, используя мое текущее имя пользователя Windows, под которым я вхожу в домен. Изначально у меня были проблемы с синхронизацией времени (истекло время просмотра). Чтобы решить эту проблему, я настроил демон ntp, указывающий на сервер домена, и принудительно синхронизировал время. После этого команда сработала, и я сгенерировал ключ Kerberos.
2) net ads подключается к -U, используя мое текущее имя пользователя Windows, под которым я вхожу в домен.
Обе эти команды работали, поэтому я присоединился к домену Windows.
На этом этапе я выполнил несколько тестовых команд:
wbinfo --ping-dc - Результат был положительным как УСПЕХ
wbinfo -g - Это возвращает список всех групп домена на контроллере домена wbinfo -u - возвращает список в unix всех имен пользователей Windows на контроллере домена
Файлы конфигурации
SAMBA.CONF Код: строка сервера = "Сервер IBM AIX" файл журнала = /var/log/samba.log passdb backend = tdbsam Конфигурация idmap *: backend = tdb Конфигурация idmap *: диапазон = 1000-9999 УТИЛИТА конфигурации idmap: backend = ad УТИЛИТА конфигурации idmap: schema_mode = rfc2307 УТИЛИТА конфигурации idmap: диапазон = 10000-10099
уровень журнала = 3 netbios имя = AIXBOX рабочая группа = РОБОТ usershare разрешить гости = да хозяин домена = нет локальный мастер = нет сервер паролей = * realm = ROBOT.LOCAL security = ADS шифровать пароли = да шаблон оболочки = / usr / bin / bash интерфейсы = en0 winbind использует домен по умолчанию = да использование клиента spnego = no
[testshare] путь = / главная / доля только чтение = Нет Writable = да гость ок = да общественность = да browseable = да допустимые пользователи = @ "доменные компьютеры"
[тест] путь = / буук browseable = да допустимые пользователи = my_windows_user_name
METHODS.CONF Код: WINBIND: программа = / usr / lib / security / WINBIND
NIS: программа = / usr / lib / security / NIS program_64 = / usr / lib / security / NIS_64
DCE: program = / usr / lib / security / DCE (НЕ СУЩЕСТВУЕТ В МОЕЙ СИСТЕМЕ AIX)
KRB5A: программа = / usr / lib / security / KRB5A options = authonly
KRB5files: options = db = BUILTIN, auth = KRB5A
KRB5.CONF
Код: [протоколирование] по умолчанию = ФАЙЛ: /var/log/krb5libs.log kdc = ФАЙЛ: / var / log / krb5kdc.бревно admin_server = ФАЙЛ: /var/log/kadmind.log
[libdefaults] default_realm = ROBOT.LOCAL default_keytab_name = ФАЙЛ: /etc/krb5.keytab dns_lookup_realm = ложь dns_lookup_kdc = ложь ticket_lifetime = 24 часа Renew_lifetime = 7 дней forwardable = true
[царства] ROBOT.LOCAL = { kdc = KDC.ROBOT.LOCAL default_domain = ROBOT.LOCAL }
Надеюсь, это поможет.