Então eu tenho procurado por alguns dias para configurar essa coisa "fácil". Eu quero ter um servidor de arquivos onde os usuários podem fazer login com o nome de domínio (domínio \ nome) e senha. O servidor deve fornecer acesso a um único diretório com base em seu nome. Alguns administradores (ou usuários locais) devem poder acessá-los. Isso funcionou, no entanto, eu estava trabalhando em uma máquina virtual e seguindo vários guias parcialmente obsoletos. Então eu repliquei meus passos em uma máquina nova, mas não consigo fazer funcionar. (ambos os Centos 7.2 atualizados)
Meu método resumido:
krb5-workstation
e configure kinit [email protected]
samba samba-winbind-clients
configurá-lo (veja a configuração abaixo) net ads join -U [email protected]
(bem-sucedido; veja abaixo) o resultado da junção:
Enter [email protected]'s password:
Using short domain name -- DOMAIN
Joined 'SERVER' to dns domain 'domain.url'
No DNS domain configured for server. Unable to perform DNS Update.
DNS update failed: NT_STATUS_INVALID_PARAMETER
config para o samba:
[global]
netbios name = SERVER_NAME
workgroup = DOMAIN
realm = DOMAIN.url
server string = Samba Server Version %v
security = ADS
allow trusted domains = No
obey pam restrictions = Yes
password server = first.domain.controler.url
log file = /var/log/samba/log.%m
max log size = 50
load printers = No
preferred master = No
idmap backend = idmap_rid:acme=16777216-33554431
template homedir = /home/%U
template shell = /bin/bash
winbind separator = +
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
idmap config * : range = 16777216-33554431
idmap config * : backend = idmap_rid:acme=16777216-33554431
cups options = raw
[microsphere]
root preexec = bash -c '[[ -d /data/%U ]] || mkdir -m 0700 /data/%U && chown %U:"Domain Users" /data/%U'
comment = Home Directories
valid users = "@DOMAIN+Domain Users"
admin users = "@DOMAIN+Domain Admins"
path = /data
read only = no
create mask = 0600
force create mode = 0600
directory mask = 0700
force directory mode = 0700
hide unreadable = Yes
access based share enum = Yes
Tudo isso parece funcionar bem:
wbinfo -n test
S-1-5-21-999108875-1658920850-184960113-4061 SID_USER (1)
Verifique se o grupo está lá: grupo getent "Usuários do Domínio" usuários de domínio: x: 4294967295:
No entanto, no servidor "limpo", as permissões nunca são definidas corretamente. O diretório é criado, mas as permissões não estão definidas corretamente. Também fazê-los manualmente se recusa a. (nota: / data está na partição raiz, nada externo)
[root@server data]# chown -v test."domain users" test/
ownership of ‘test/’ retained as root:root
[root@server data]# ll
total 1
drwx------ 2 root root 3 Aug 11 09:43 svenn
drwx------ 2 root root 2 Aug 11 09:48 test
O que está acontecendo?