LINUX.ORG.RU
ФорумAdmin

Сервер samba в Active directory без winbind

 , ,


0

1

ПК введен вдомен AD с помощью sssd. Все работает: авторизация доменных пользователей на локальном ПК, прозрачное монтировани ресурсов windows (и через gvfs, и через autofs).

Хочу так же раздавать собственные ресурси ПК (samba).

Ранее всегда делал это в связке с winbind. Хочу сделать без него, но не получается.

Если запускать самбу без winbind, в логах сообщения типа:

winbindd not running - but required as domain member: NT_STATUS_NO_LOGON_SERVERS

Если установить winbind, то сообщения типа:

Could not fetch our SID - did we join?

Но ПК уже введен в домен, getent passwd показывает идентификаторы

Получается, что без winbind никак? Да еще необходимо второй раз вводить ПК в домен через net ads join?

У кого есть опыт успешной реализации?

Тоже искал инфу на эту тему. Нашлись только упоминания, что у кого-то это работает, но без конкретики (версии, конфиги…). Также проскакивали упоминания, что до какой-то версии самбы это работало, потом сломали. Так что да, если нужна самбовые шары с авторизацией в AD - вводить в домен с помощью winbind.

VovanE
()

Да, найти вариант без winbind не получилось.

«Костыльный» вариант решения:

  • Ставим дополнительно winbind
  • вводим ПК !!!еще раз!!! в домен, но уже с помощью net ads (sudo net ads join -U user@domain.com)
  • перезапускаем сервисы winbind и smbd

Все работает.

мой smb.conf (подсмотрено на данном сайте ;-))

[global]
   workgroup = DOMAIN
   server string = %h
   server role = member server
   realm = DOMAIN.COM
   dns proxy = no 
   security = ads
   encrypt passwords = yes
   passdb backend = tdbsam
   kerberos method = dedicated keytab
   dedicated keytab file = /etc/krb5.keytab
   load printers = no
   cups options = raw
   printcap name = /dev/null
   idmap config TECHNOGRES0 : backend        = sss
   idmap config TECHNOGRES0 : range          = 2000-32147483647
   idmap config * : backend        = tdb
   idmap config * : range          = 1500-1999
   machine password timeout = 0
   vfs objects = acl_xattr
   map acl inherit = yes
   winbind enum users = no
   winbind enum groups = no

[homes]
   comment = Home Directories
   browseable = no
   writable = yes

Получается такая вот комбинированная система

oleg_kravchenko
() автор топика
Ответ на: комментарий от oleg_kravchenko

Не костыль, а костылище. И непонятно, зачем. Подозреваю, что если и будет работать, то до смены пароля machine account.

VovanE
()
Последнее исправление: VovanE (всего исправлений: 1)
Ответ на: комментарий от VovanE

Да, согласен полностью, костыль. И да, есть сильные подозрения, что работать будет ненадежно очень.

Задача виросла с другой - подключние ПК к домену через sss с прозрачным доступом к cifs ресурсам виндовс - получилось, далее уже захотелось и самбу туда прикрутить - не получилось стразу, потом только через костыль.

Общий вывод - наверное не стоит так делать.

Скорее всего попробую вернуться к чистому winbind (интеграция ПК в АД, монтирование cifs и самба).

Все спасибо.

oleg_kravchenko
() автор топика