Сервер samba в Active directory без winbind

0

1

ПК введен вдомен AD с помощью sssd. Все работает: авторизация доменных пользователей на локальном ПК, прозрачное монтировани ресурсов windows (и через gvfs, и через autofs).

Хочу так же раздавать собственные ресурси ПК (samba).

Ранее всегда делал это в связке с winbind. Хочу сделать без него, но не получается.

Если запускать самбу без winbind, в логах сообщения типа:

winbindd not running - but required as domain member: NT_STATUS_NO_LOGON_SERVERS

Если установить winbind, то сообщения типа:

Could not fetch our SID - did we join?

Но ПК уже введен в домен, getent passwd показывает идентификаторы

Получается, что без winbind никак? Да еще необходимо второй раз вводить ПК в домен через net ads join?

У кого есть опыт успешной реализации?

←	Мониторинг с локалхоста

10000 правил push route в openvpn

→

Тоже искал инфу на эту тему. Нашлись только упоминания, что у кого-то это работает, но без конкретики (версии, конфиги…). Также проскакивали упоминания, что до какой-то версии самбы это работало, потом сломали. Так что да, если нужна самбовые шары с авторизацией в AD - вводить в домен с помощью winbind.

VovanE ★
(09.10.24 09:46:30 MSK)

Да, найти вариант без winbind не получилось.

«Костыльный» вариант решения:

Ставим дополнительно winbind
вводим ПК !!!еще раз!!! в домен, но уже с помощью net ads (sudo net ads join -U user@domain.com)
перезапускаем сервисы winbind и smbd

Все работает.

мой smb.conf (подсмотрено на данном сайте ;-))

[global]
   workgroup = DOMAIN
   server string = %h
   server role = member server
   realm = DOMAIN.COM
   dns proxy = no 
   security = ads
   encrypt passwords = yes
   passdb backend = tdbsam
   kerberos method = dedicated keytab
   dedicated keytab file = /etc/krb5.keytab
   load printers = no
   cups options = raw
   printcap name = /dev/null
   idmap config TECHNOGRES0 : backend        = sss
   idmap config TECHNOGRES0 : range          = 2000-32147483647
   idmap config * : backend        = tdb
   idmap config * : range          = 1500-1999
   machine password timeout = 0
   vfs objects = acl_xattr
   map acl inherit = yes
   winbind enum users = no
   winbind enum groups = no

[homes]
   comment = Home Directories
   browseable = no
   writable = yes

Получается такая вот комбинированная система

oleg_kravchenko
(09.10.24 12:55:44 MSK) автор топика

Ответ на: комментарий от oleg_kravchenko 09.10.24 12:55:44 MSK

И одновременно работают sssd и winbind?

VovanE ★
(09.10.24 16:35:12 MSK)

Ответ на: комментарий от VovanE 09.10.24 16:35:12 MSK

Да, именно одновременно.

Я еще тестирую, появляются ньюансы, но общая тема работает.

oleg_kravchenko
(10.10.24 18:42:30 MSK) автор топика

Ответ на: комментарий от oleg_kravchenko 10.10.24 18:42:30 MSK

Не костыль, а костылище. И непонятно, зачем. Подозреваю, что если и будет работать, то до смены пароля machine account.

VovanE ★
(10.10.24 19:02:28 MSK)
Последнее исправление: VovanE 10.10.24 19:02:42 MSK (всего исправлений: 1)

Ответ на: комментарий от VovanE 10.10.24 19:02:28 MSK

Да, согласен полностью, костыль. И да, есть сильные подозрения, что работать будет ненадежно очень.

Задача виросла с другой - подключние ПК к домену через sss с прозрачным доступом к cifs ресурсам виндовс - получилось, далее уже захотелось и самбу туда прикрутить - не получилось стразу, потом только через костыль.

Общий вывод - наверное не стоит так делать.

Скорее всего попробую вернуться к чистому winbind (интеграция ПК в АД, монтирование cifs и самба).

Все спасибо.

oleg_kravchenko
(10.10.24 21:14:56 MSK) автор топика

←	Мониторинг с локалхоста

Admin

10000 правил push route в openvpn

→

Похожие темы