Estou começando a migrar manualmente meu samba3 (ou agora samba4 classic) servidores em um domínio AD do new samba4. (Todos os novos servidores estão sendo executados com v4.7.4.) Os controladores de domínio estão funcionando bem e estou testando meu primeiro servidor membro. Funciona bem com membros de domínio do Windows 10, mas não adicionaremos todos clientes para o domínio ainda.
Nossos antigos scripts de login que mapeiam as unidades criam problemas agora, já que os membros que não são do domínio tentam fazer login com "LOCALCOMPUTER \ nome_do_usuário", as senhas são obviamente as mesmas.
Para meu antigo PDC do samba 3, usei com sucesso map untrusted to domain = yes para resolver esse problema. Agora estou usando o novo padrão auto , que
será o único valor em 4.8, tanto quanto eu entendo e não parece
para trabalhar como eu preciso. AFAIU o servidor membro deve delegar
a decisão para o DC, que, caso seja desconhecido, deve executar uma
autenticação local. Eu não tenho certeza do que exatamente "local" é (é o AD
ou o servidor?), mas não funciona aqui.
By default, and with map untrusted to domain = auto smbd will defer the decision whether the domain name provided by the client is a valid domain name to the Domain Controller (DC) of the domain it is a member of, if it is not a DC. If the DC indicates that the domain portion is unknown, then a local authentication is performed. (man smb.conf v4.7.4)
Então, em suma, existe uma solução fácil para mapear todos os domínios desconhecidos para BSS \ usuário? Desde que eu não tenho mais do que este domínio, eu nem mente mapeando tudo.
DC smb.conf é razoavelmente padrão (deixado de fora netlogon / sysvol):
[global]
workgroup = BSS
realm = BSS.FQDN.EXAMPLE.COM
netbios name = BARVA
server role = active directory domain controller
dns forwarder = 1.2.3.4
idmap_ldb:use rfc2307 = yes
time server = yes
Servidor de membro (arquivo), omitiu as definições de compartilhamento:
[global]
workgroup = BSS
realm = BSS.FQDN.EXAMPLE.COM
security = ADS
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
winbind refresh tickets = yes
winbind nss info = template
template shell = /bin/false
template homedir = /srv/samba/homes/%U
#
https://wiki.samba.org/index.php/Idmap_config_rid#Planning_the_ID_Ranges
# Default idmap config for local BUILTIN accounts and groups
idmap config * : backend = tdb
idmap config * : range = 3000-7999
# idmap config for the domain
idmap config BSS : backend = rid
idmap config BSS : range = 10000-999999
store dos attributes = yes
vfs objects = acl_xattr
inherit acls = yes
map acl inherit = yes
Obrigado antecipadamente, Jakob