web-dev-qa-db-ja.com

realmd / sssdおよびAD統合を使用したフォルダーの共有

CentOS 7マシンをセットアップし、realmdを介してADに参加させました。

yum install realmd samba-common oddjob oddjob-mkhomedir sssd
realm join [email protected] mydomain.local

その後、 realm listは期待される出力を返します

[root@webdev samba]# realm list
  mydomain.local
  type: kerberos
  realm-name: MYDOMAIN.LOCAL
  domain-name: mydomain.local
  configured: kerberos-member
  server-software: active-directory
  client-software: sssd
  required-package: oddjob
  required-package: oddjob-mkhomedir
  required-package: sssd
  required-package: adcli
  required-package: samba-common
  login-formats: %[email protected]
  login-policy: allow-realm-logins

aD資格情報を使用してSSH経由でログインできます(そのため、myuser @ mydomain.local @ hostnameを取得します)。

私は今、Windowsユーザーがマシン上のフォルダーにアクセスすることを許可する必要がありますが、Sambaは協力することに消極的であるようです-すべての組み合わせまたはユーザー名とパスワードは間違って戻ってきます。これをデバッグする方法、または何か不足している場合はわかりません。

smb.confファイルは基本的に:

 [root@webdev samba]# testparm
 Load smb config files from /etc/samba/smb.conf
 rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
 Processing section "[vHosts]"
 Loaded services file OK.
 Server role: ROLE_DOMAIN_MEMBER
 Press enter to see a dump of your service definitions

 [global]
    workgroup = MYDOMAINLOCAL
    realm = MYDOMAIN.LOCAL
    server string = Samba Server Version %v
    security = DOMAIN
    log file = /var/log/samba/log.%m
    max log size = 50
    load printers = No
    idmap config * : backend = tdb
    hosts allow = 127., 10.0.
    cups options = raw

  [vHosts]
    comment = Virtual Host repository
    path = /var/www/vhosts
    valid users = MYDOMAINLOCAL\%S
    read only = No

ディレクトリを変更したことに注意してください(/var/www/vhosts)777へのシステム権限。

どんな助けでも大歓迎です。前もって感謝します!

更新:

  • DCはWindows 2003 R2、クライアントはWindows 7
  • セキュリティをadsdomainの両方に設定しようとしましたが、結果は同じです(葉巻なし)。
  • Windows資格情報ダイアログで受信されるエラーメッセージは「アクセスが拒否されました」
  • ファイアウォールを無効および有効にして両方を試したが、違いはなかった
  • SELinuxが無効になっています

Krb *パッケージの検索:

[root@webdev logs]# rpm -qa | grep krb
sssd-krb5-common-1.11.2-68.el7_0.5.x86_64
sssd-krb5-1.11.2-68.el7_0.5.x86_64
samba-winbind-krb5-locator-4.1.1-35.el7_0.x86_64
krb5-libs-1.11.3-49.el7.x86_64

およびコマンド出力getent passwd MYDOMAINLOCAL\myuserおよびgetent passwd mydomain.local\myuser空白を返します(出力なし)。

5

私自身の質問に答える:

唯一の問題は、valid userssmb.confセクションでした-%Sがまったく機能していないようです。

したがって、Windowsの「WebDevGrp」という名前のセキュリティグループの場合、CentOSでは[email protected]groups [email protected]でテストできます)として表示され、Sambaを次のように共有できます。

[vHosts]
  comment = Virtual Host repository
  path = /var/www/vhosts
  public = no
  writable = yes
  guest ok = no
  valid users = @"[email protected]"

パスワードの入力を求められることもありません。すべてシームレスです。

PS。 Sambaをデバッグするときは、log level = 3を設定に追加して、違いを作りましょう!

PPS。私はプロセス全体のガイドを書きました-バニラの新しくインストールされたCentOS 7から、SambaがADの認証/承認と共有するようにするまで、私のブログで見つけることができます here

9

最近、FedoraとWindows 2012/Windows 7でWindows/Sambaテスト環境を構成する必要があり、いくつかの同様の問題がありました。 Windowsサーバー/クライアントでこのレジストリキーを変更した後、すべてがうまくいきました:

HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\DomainCompatibilityMode = 1

HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\DNSNameResolutionRequired = 0

HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecureNegociate = 0

しかし、私はwinbind/kinit/etcを使用していました。 AD統合を実行します。多分これはあなたを助けるかもしれません。

EDIT1:

  • CentOSに次のようなkerberosパッケージをインストールしましたか?krb5-workstation krb5 -libs krb5 -auth -dialog?
  • "getent passwd"はWindowsドメインユーザーを返しますか?
1
NooJ