realmd / sssdおよびAD統合を使用したフォルダーの共有
CentOS 7マシンをセットアップし、realmdを介してADに参加させました。
yum install realmd samba-common oddjob oddjob-mkhomedir sssd
realm join [email protected] mydomain.local
その後、 realm listは期待される出力を返します
[root@webdev samba]# realm list
mydomain.local
type: kerberos
realm-name: MYDOMAIN.LOCAL
domain-name: mydomain.local
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common
login-formats: %[email protected]
login-policy: allow-realm-logins
aD資格情報を使用してSSH経由でログインできます(そのため、myuser @ mydomain.local @ hostnameを取得します)。
私は今、Windowsユーザーがマシン上のフォルダーにアクセスすることを許可する必要がありますが、Sambaは協力することに消極的であるようです-すべての組み合わせまたはユーザー名とパスワードは間違って戻ってきます。これをデバッグする方法、または何か不足している場合はわかりません。
smb.confファイルは基本的に:
[root@webdev samba]# testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[vHosts]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
[global]
workgroup = MYDOMAINLOCAL
realm = MYDOMAIN.LOCAL
server string = Samba Server Version %v
security = DOMAIN
log file = /var/log/samba/log.%m
max log size = 50
load printers = No
idmap config * : backend = tdb
hosts allow = 127., 10.0.
cups options = raw
[vHosts]
comment = Virtual Host repository
path = /var/www/vhosts
valid users = MYDOMAINLOCAL\%S
read only = No
ディレクトリを変更したことに注意してください(/var/www/vhosts)777へのシステム権限。
どんな助けでも大歓迎です。前もって感謝します!
更新:
- DCはWindows 2003 R2、クライアントはWindows 7
- セキュリティを
adsとdomainの両方に設定しようとしましたが、結果は同じです(葉巻なし)。 - Windows資格情報ダイアログで受信されるエラーメッセージは「アクセスが拒否されました」
- ファイアウォールを無効および有効にして両方を試したが、違いはなかった
- SELinuxが無効になっています
Krb *パッケージの検索:
[root@webdev logs]# rpm -qa | grep krb
sssd-krb5-common-1.11.2-68.el7_0.5.x86_64
sssd-krb5-1.11.2-68.el7_0.5.x86_64
samba-winbind-krb5-locator-4.1.1-35.el7_0.x86_64
krb5-libs-1.11.3-49.el7.x86_64
およびコマンド出力getent passwd MYDOMAINLOCAL\myuserおよびgetent passwd mydomain.local\myuser空白を返します(出力なし)。
私自身の質問に答える:
唯一の問題は、valid usersのsmb.confセクションでした-%Sがまったく機能していないようです。
したがって、Windowsの「WebDevGrp」という名前のセキュリティグループの場合、CentOSでは[email protected](groups [email protected]でテストできます)として表示され、Sambaを次のように共有できます。
[vHosts]
comment = Virtual Host repository
path = /var/www/vhosts
public = no
writable = yes
guest ok = no
valid users = @"[email protected]"
パスワードの入力を求められることもありません。すべてシームレスです。
PS。 Sambaをデバッグするときは、log level = 3を設定に追加して、違いを作りましょう!
PPS。私はプロセス全体のガイドを書きました-バニラの新しくインストールされたCentOS 7から、SambaがADの認証/承認と共有するようにするまで、私のブログで見つけることができます here
最近、FedoraとWindows 2012/Windows 7でWindows/Sambaテスト環境を構成する必要があり、いくつかの同様の問題がありました。 Windowsサーバー/クライアントでこのレジストリキーを変更した後、すべてがうまくいきました:
HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\DomainCompatibilityMode = 1
HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\DNSNameResolutionRequired = 0
HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecureNegociate = 0
しかし、私はwinbind/kinit/etcを使用していました。 AD統合を実行します。多分これはあなたを助けるかもしれません。
EDIT1:
- CentOSに次のようなkerberosパッケージをインストールしましたか?krb5-workstation krb5 -libs krb5 -auth -dialog?
- "getent passwd"はWindowsドメインユーザーを返しますか?