Claramente, havia um problema com a política de segurança do grupo no domínio, mas não era uma opção para alterar a política de segurança para um compartilhamento de rede. Com base em minha pesquisa, o problema estava relacionado a como o AD criava tickets do Kerberos - e a diretiva de domínio era usar apenas o Kerberos. O Samba funciona com o NTMLv2, mas o Samba não era responsável pela autenticação - o AD era, e o PBIS era responsável por fazer isso acontecer.
O problema era que o Samba não acessava o arquivo keytab do PBIS. Eu resolvi isso digitando isso em smb.conf under [global] :
Kerberos method = dedicated keytab
dedicated keytab file = /etc/krb5.keytab
O padrão para Kerberos method é secrets only , que usa um arquivo tdb para tickets - que não funciona com o PBIS. Você precisa dizer ao Samba para usar apenas o arquivo keytab que o PBIS usa.
Depois disso, a autenticação funcionou corretamente com IP, hostname curto e FQDN.
Você pode descobrir qual arquivo de keytab o PBIS está usando, verificando o arquivo krb5.conf (geralmente /etc/krb5.conf) e verificando a configuração default_keytab_name .
Para referência, aqui está meu smb.conf :
[global]
security = ADS
workgroup = DOMAIN
realm = DOMAIN.COM
machine password timeout = 0
server string = %h
local master = no
encrypt passwords = yes
Kerberos method = dedicated keytab
dedicated keytab file = /etc/krb5.keytab
deadtime = 20
log level = 20
debug pid = true
debug class = yes
log file = /var/log/samba-pbis.log
[test]
comment = test
path = /test
browseable = yes
read only = no
writeable = yes
valid users = @DOMAIN\user1 @DOMAIN\domain^users
admin users = @DOMAIN\domain^admins
guest ok = yes
create mask = 0774
directory mask = 0774
inherit acls = yes
inherit permissions = yes