Usando o Samba para AD e compartilhamento de arquivos

2

Nós usamos uma combinação de Samba e WinBind para permitir logins AD em uma máquina Ubuntu 12.04. Nós também usamos o Samba como um servidor de arquivos. Não queremos que compartilhamentos de arquivos do Samba funcionem para logins do AD, mas apenas logins locais que especificamos. Atualmente, quando um usuário do AD tenta visualizar arquivos no Samba, eles podem ver tudo em um único compartilhamento. Quando eles tentam escrever alterações, eles são negados, no entanto. Esta é a edição número um.

O problema número dois é que temos um usuário local na caixa que tem o mesmo nome de um usuário do AD e aparentemente quando ele faz login no compartilhamento do Samba, está usando a conta do AD e não consegue gravar alterações no sistema de arquivos em vez de fazer login como usuário local.

Aqui está o meu smb.conf:

[global]
   workgroup = DOMAIN
   server string = t-u12-dev1
   netbios name = t-u12-dev1
   dns proxy = no
   password server = domainserver.com
   realm = DOMAIN.COM
   local master = no
   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0
   panic action = /usr/share/samba/panic-action %d
   wtmp directory = /var/log
   utmp = yes
   utmp directory = /var/run
   security = ads
   client ntlmv2 auth = yes
   ntlm auth = no
   guest account = nobody
   restrict anonymous = 2
   idmap backend = tdb
   idmap uid = 16777216-33554431
   idmap gid = 16777216-33554431
   idmap config AD:backend = rid
   idmap config AD:range = 100000-999999
   template shell = /bin/bash
   template homedir = /home/%D/%U
   winbind separator = +
   winbind use default domain = yes
   winbind offline logon = true
   winbind enum users = no
   winbind enum groups = no
   winbind refresh tickets = true
   smb ports = 445
   socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
   load printers = no

[sites]
   writeable = yes
   path = /sites
   comment = $HOSTNAME
   browseable = yes
   guest ok = no

Se eu fizer um sudo pdbedit -L -v , só vejo a conta local que desejo acessar o compartilhamento de arquivos do Samba.

O que posso alterar para que meus logins do AD continuem funcionando, mas não sejam usados para autenticação de compartilhamento de arquivos do Samba?

    
por tubaguy50035 09.07.2014 / 22:20

1 resposta

1

Se você não quiser que os logins do AD sejam usados para qualquer coisa relacionada ao Samba, você pode alterar o modo de segurança do Samba para permissões de "usuário" ou até mesmo de "compartilhamento"? Dessa forma, você pode aproveitar suas contas internas para o Samba, mas manter as informações do AD para logins. Ou talvez eu tenha entendido mal o que você está perguntando.

Eu tenho contas locais em meus servidores, mas também uso o AD para o Samba. O que acabo fazendo é bloquear os compartilhamentos até o nível do grupo com as permissões do AD usando esses parâmetros nos compartilhamentos:

valid users = "+AD\Group Name"
force group = "+AD\Group Name"

Dessa forma, outros usuários não podem nem mesmo navegar pelo conteúdo dos compartilhamentos. Parece que também homenageia os grupos aninhados, por isso podemos fazer com que os grupos do AD sejam membros de outros grupos e, assim, ser muito granular no que abrimos aos utilizadores.

    
por 16.07.2014 / 14:36