Eu entendo que o título é provavelmente menos claro do que deveria, mas não consegui pensar em nada melhor.
Temos dois domínios, vamos chamá-los de example.com
e subnet.example.com
. O primeiro é gerenciado por um servidor do Active Directory e abriga alguns servidores, bem como todos os clientes do Windows. Este último abriga várias máquinas Unix (principalmente Solaris). Existe uma fidedignidade unidireccional do domínio SUBNET.EXAMPLE.COM
para EXAMPLE.COM
.
Com esta configuração, as coisas habituais funcionam bem, como login ssh, NFSv4, etc.
Agora, o que eu quero fazer é rodar servidores Samba nas máquinas Unix em subnet.example.com
. Os usuários do Windows devem poder acessar os arquivos nesses servidores.
Eu configurei a autenticação do Kerberos no Samba e ele funciona perfeitamente em qualquer cliente Linux. Eu posso acessar as máquinas via smbclient
quando eu tenho um Kerberos TGT, e ele pára de funcionar se eu derrubá-lo. O mapeamento de usuários funciona exatamente como esperado. As máquinas têm cifs/hostname
entradas no servidor MIT Kerberos.
No entanto, os clientes Windows não conseguem fazer o mesmo. Ao observar os logs do Samba, vejo que o servidor Samba tenta falar com o servidor do AD, mas não tem permissão para fazer isso, pois o servidor do Samba não ingressou no domínio do AD.
Então, eu ouço você perguntar: "Por que você não entra no domínio do AD?" . A resposta é que não sou capaz de fazer isso, pois os sistemas na sub-rede são sistemas de teste que estão sendo instalados e reinstalados, muitas vezes, muitas vezes por dia, e não queremos que um administrador do AD configure isso (e os remova) também) toda vez que um sistema de teste é instalado ou colocado off-line.
Além disso, tudo funciona perfeitamente para os clientes Linux, o que me leva a acreditar que deveria ser possível fazer isso funcionar de alguma forma.
Então, minha pergunta é: isso é possível? Existe alguma limitação no Windows que os impede de serem clientes em um território Kerberos normal? Em caso afirmativo, qual seria a melhor solução para esse problema?