Servidor Samba - Problemas de montagem do CIFS

1

Antecedentes:

Eu tenho um servidor samba cifs. Ele não está associado a um domínio, mas possui um keytab para um reino kerberosV do MIT.

As montagens kerberizadas (por exemplo, mount -t cifs //cifs.example.com/groups /mnt/cifs -o sec=krb5i ) funcionam em clientes Linux. Montagens Kerberizadas do AD juntaram-se a máquinas Windows (unidas a um domínio configurado com uma confiança no Kerberos Realm). Montagens baseadas em senha não funcionam para clientes Linux (não é grande coisa).

As montagens baseadas em senha para clientes que não são do AD se uniram aos tipos de trabalho do Windows. Usar o explorer para acessar \cifs.example.com\groups não funcionará e nenhum prompt de senha será exibido. No entanto, se \cifs.example.com\groups for montado como uma unidade de letra, a caixa de diálogo não será concluída, mas o mapeamento da unidade será estabelecido e funcionará e a caixa de diálogo poderá ser cancelada nesse momento, mantendo a montagem.

Pergunta:

  1. Como é possível fazer com que o caminho UNC solicite uma senha em computadores não conectados ao AD?

Configurações:

hostname: cifs.example.com reino: EXAMPLE.COM distro: CentOS release 6.5 (Final)
versão do samba: samba-3.6.9-167.el6_5.x86_64

smb.conf

syslog only = yes
syslog = 3

server string = %h server (Samba, CentOS)
workgroup = EXAMPLE.COM
security = ads
realm = EXAMPLE.COM
create krb5 conf = no
kerberos method = secrets and keytab
server signing = auto
smb encrypt = auto
smb ports = 445
use sendfile = yes

map to guest = Bad User
guest account = nobody

wins support = no
dns proxy = no

load printers = no
printing = bsd
printcap name = /dev/null
disable spoolss = yes

hide files = /Desktop.ini/$RECYCLE.BIN/Thumbs.db/~$.*/

[home]
path = /export/home/
writeable = yes
guest ok = no
browseable = no
create mask = 0600
directory mask = 0700

[groups]
path = /export/groups
writeable = yes
guest ok = no
browseable = yes
create mask = 0660
directory mask = 0770

*

klist -k

Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   8 host/[email protected]
   8 host/[email protected]
   8 host/[email protected]
   8 host/[email protected]
   8 cifs/[email protected]
   8 cifs/[email protected]
   8 cifs/[email protected]
   8 cifs/[email protected]

getsebool -a | grep -e cifs -e samba

allow_ftpd_use_cifs --> off
cobbler_use_cifs --> off
git_cgi_use_cifs --> off
git_system_use_cifs --> off
httpd_use_cifs --> off
qemu_use_cifs --> on
rsync_use_cifs --> off
samba_create_home_dirs --> off
samba_domain_controller --> off
samba_enable_home_dirs --> off
samba_export_all_ro --> off
samba_export_all_rw --> off
samba_portmapper --> off
samba_run_unconfined --> off
samba_share_fusefs --> off
samba_share_nfs --> off
sanlock_use_samba --> off
tftp_use_cifs --> off
use_samba_home_dirs --> off
virt_use_samba --> off

/etc/pam.d/samba

#%PAM-1.0
auth       required pam_nologin.so
auth       include  password-auth
account    include  password-auth
session    include  password-auth
password   include  password-auth

/etc/pam.d/password-auth

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_sss.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_sss.so
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_sss.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_sss.so
    
por 84104 14.03.2014 / 21:16

1 resposta

0

Necessário alterar max protocol do padrão NT1 para o protocolo max = SMB2 .

    
por 28.03.2014 / 00:16

Tags