Unindo o Samba ao Active Directory com autenticação de usuário local

1

Peço desculpas por isso ser um pouco incoerente, mas espero que alguém consiga entender o suficiente para entender o que estou tentando alcançar e fornecer sugestões.

Eu tenho uma máquina com duas interfaces de rede conectadas a duas redes diferentes (uma das quais está fornecendo vários outros serviços, como DNS), executando duas instâncias separadas do Samba, uma ligada a cada interface. Uma das instâncias é apenas uma configuração no estilo de grupo de trabalho usando autenticação no nível de compartilhamento, que está funcionando bem.

O problema é que estou procurando unir a outra instância a um domínio MS Active Directory (fornecido pelo MS Windows Small Business Server 2003) para permitir que um subconjunto de usuários do domínio acesse os compartilhamentos de máquinas Windows no outro rede.

Os usuários que precisam de acesso do ambiente de domínio têm contas (cujos nomes são todas as versões em minúsculas dos nomes de usuário do domínio) na máquina que executa o Samba, mas não tenho certeza sobre como mapear os UIDs e tudo o que read diz respeito à autenticação de contas nessa máquina contra o AD ou outro servidor LDAP. Para esclarecer: desejo apenas que as credenciais dos usuários do AD que acessam a instância do Samba não pertencente ao grupo de trabalho sejam autenticadas no AD, e não nas contas na máquina que executa o Samba.

Espero que isso esteja suficientemente claro.

EDIT: Além de poder acessar os compartilhamentos Samba do AD, eu também preciso poder acessar um compartilhamento no domínio da máquina rodando o Samba mas ainda assim gostar de tudo que não seja relacionado ao Samba para autenticar localmente .

    
por Ansel Pol 10.03.2011 / 17:27

1 resposta

1

Você pode fazer isso com bastante facilidade. Você precisa pré-formatar todas as etapas para configurar os usuários para autenticar no Linux via AD (configuração KRB, unindo o domínio), até o bot NÃO incluindo as alterações do PAM. Então você acabou de definir o SAMBA para usar o winbind como a fonte de autenticação. Aqui está uma cópia antiga de um smb.conf que usei para obter o mesmo efeito:

#======================= Global Settings =====================================

[global]

# Domain Authntication Settings
        workgroup = <my domain>
        server string = <Sever String>
        security = ads
        passdb backend = tdbsam
        realm = <mydomain.com>
        client use spnego = yes
        ldap ssl = no
# logging
        log level = 5
        max log size = 50
        # logs split per machine
        log file = /var/log/samba/%m.log
        # max 50KB per log file, then rotate
;       max log size = 50

# User settings
        username map =  /etc/samba/smbusers
        idmap uid = 10000-20000000
        idmap gid = 10000-20000000
        idmap backend = ad
;       template primary group = <ad group>
        template shell = /sbin/nologin

# Winbind Settings
        winbind separator = +
        winbind enum users = Yes
        winbind enum groups  = Yes
        winbind netsted groups = Yes
        winbind nested groups = Yes
        winbind use default domain = Yes

#Other Globals
        unix charset = LOCALE
        server string = <my server name>
        load printers = no
        printing =  cups
        cups options = raw

;       printcap name = /etc/printcap
        #obtain list of printers automatically on SystemV
;       printcap name = lpstat
;       printing = cups


#============================ Share Definitions ==============================


[share]
comment = <share comment>
path = /srv/smb/share
guest ok = yes
valid users = "DOMAIN+testUser"
read only = yes

Além disso, se você estiver usando o Ubuntu, há um bug na versão que estava no 10.04LTS até alguns meses atrás que quebrou completamente essa configuração (nobody can auth) - pegue uma versão do site SAMBA se isso é o caso

    
por 14.03.2011 / 04:43