Samba NT_STATUS_NO_TRUST_SAM_ACCOUNT

1

para um projeto, temos vários compartilhamentos de samba configurados da seguinte forma:

[global]
   workgroup = <domain name>
   netbios name = <machine name>
   passdb backend = tdbsam
   security = ads
   encrypt passwords = yes
   realm = <fully qualified domain>
   password server = <ldap server ip>

[Share1]
   path = <path>
   ......

A idéia é que os usuários conectados serão autenticados pelo servidor ldap e cada arquivo escrito por eles será de propriedade de um usuário linux com o mesmo nome. Além do SAMBA, a máquina linux não usa o ldap para mais nada.

Tudo funcionou como esperado, até que algo mudou no servidor ldap e agora estamos recebendo o erro NT_STATUS_NO_TRUST_SAM_ACCOUNT . Estamos nos unindo para comunicar com a equipe do ldap, mas vendo que todas as outras autenticações do Active Directory funcionam, esperamos que seja nossa responsabilidade alterar a configuração do samba de acordo -_- "

Os guias que vejo ao redor são praticamente todos focados em instalar e usar um servidor OpenLDAP na máquina linux, que não precisamos, ou configurar a autenticação linux para usar usuários LDAP internamente ou fazer mapeamentos complexos além do nome de usuário, que também não precisamos.

Estamos usando o samba 4.2, e sabemos que a atualização para uma versão mais recente não funcionou com a configuração acima (mesmo antes de o servidor ldap mudar).

Você está ciente de alguma outra maneira (talvez mais correta) de configurar o samba para ter o comportamento solicitado? O que precisamos é apenas o servidor LDAP respondendo "user auth ok", nenhum mapeamento de usuário, nenhuma máquina no domínio, nenhuma configuração complexa.

    
por capitano666 02.05.2016 / 11:21

1 resposta

0

Quando você se torna o membro de um domínio (como é necessário para 'segurança = anúncios'), uma conta de máquina para o seu servidor é criada no diretório. Seu servidor usa essa conta para acessar os recursos no domínio.

NT_STATUS_NO_TRUST_SAM_ACCOUNT sugere que sua máquina está tendo problemas para usar sua conta de máquina (suas credenciais podem ter sido invalidadas por algum motivo). Deixar o domínio e juntá-lo novamente ("net ads join") deve corrigir isso.

Versões mais antigas do Samba suportam o encaminhamento de autenticação para um servidor remoto sem ser um membro do domínio, mas o AFAICT não existe mais.

    
por 02.07.2017 / 16:47

Tags