web-dev-qa-db-ja.com

Sambaはcifs共有にアクセスするWindowsクライアントにfreeipa認証を使用します

TL; DR

Windowsクライアントがfreeipa資格情報を使用してSamba共有にアクセスできるようにしたい。

問題

これはスーパーユーザー上にあり、実稼働環境ではないため、serverfaultではありません。これは私のホームネットワークです。 Windowsとの相互運用性のためにGNU/Linuxsambaを使用するための多くのガイドがあります。しかし、私はクロスドメインの信頼を持ちたくありません(私のWindows ADドメインは最終的にはなくなります)。

Freeipa(ipasam?ldapsam?)を指すようにsambaを構成して、Windowsクライアント(ゲーム用に維持)で「[email protected]」を使用して\ linuxserver\sharenameに接続できるようにすることはできますか?

ドメインに参加しているGNU/Linuxホストに既存のADドメインを使用するようにsambaを構成する方法を知っていますが、それは私がここで行っていることではありません。今回の私のホストはfreeipaドメインコントローラーですが、freeipaクライアントをファイルサーバーにするかもしれません。他のLinuxホスト用のnfsがありますが、「nfs windows」をすばやく検索しても、ここでの目的よりも優れた/簡単なものは何も表示されませんでした。

可能性

  • Ipasamまたはldapsamバックエンドを使用できますか?
  • Sambaを「Windowsドメインコントローラー」として使用し、ipaドメインを信頼して、ユーザーをマップすることはできますか?

9月7日に更新

https://techslaves.org/2011/08/24/freeipa-and-samba-3-integration/ を見つけ、freeipaのスキーマを変更してsambaプロパティを含める方法を示す手順に従いました。しかし、それでもエラーが発生します:NT_STATUS_WRONG_PASSWORD。

1
bgStack15

8ヶ月後、ようやく問題を解決しました!

FreeipaauthとのSamba共有

情報の完全なセットは https://bgstack15.wordpress.com/2017/05/10/samba-share-with-freeipa-auth/ にあります。

Freeipaコントローラーの場合:

yum -y install ipa-server-trust-ad
ipa-adtrust-install --add-sids

--add-sidsを実行した後、freeipaがパスワードのipaNTHash値を生成するために、ユーザーはパスワードをリセットする必要があります。

Sambaサーバーの場合:

yum -y install ipa-server-trust-ad

要求されたファイアウォールポートを開きます(TCP 135,138,139,445,1024-1300; UDP 138,139,389,445)

Sambaにパスワードの読み取りを許可する

ipa permission-add "CIFS server can read user passwords" \
   --attrs={ipaNTHash,ipaNTSecurityIdentifier} \
   --type=user --right={read,search,compare} --bindtype=permission
ipa privilege-add "CIFS server privilege"
ipa privilege-add-permission "CIFS server privilege" \
   --permission="CIFS server can read user passwords"
ipa role-add "CIFS server"
ipa role-add-privilege "CIFS server" --privilege="CIFS server privilege"
ipa role-add-member "CIFS server" --services=cifs/Host2.vm.example.com

Samba confを準備し、sambaを再起動します。

tf=/etc/samba/smb.conf
touch "${tf}"; chmod 0644 "${tf}"; chown root:root "${tf}"; restorecon "${tf}"
cat < "${tf}"
[global]
    debug pid = yes
    realm = VM.EXAMPLE.COM
    workgroup = VM
    domain master = Yes
    ldap group suffix = cn=groups,cn=accounts
    ldap machine suffix = cn=computers,cn=accounts
    ldap ssl = off
    ldap suffix = dc=vm,dc=example,dc=com
    ldap user suffix = cn=users,cn=accounts
    log file = /var/log/samba/log
    max log size = 100000
    domain logons = Yes
    registry shares = Yes
    disable spoolss = Yes
    dedicated keytab file = FILE:/etc/samba/samba.keytab
    kerberos method = dedicated keytab
    #passdb backend = ipasam:ldapi://%2fvar%2frun%2fslapd-VM-EXAMPLE-COM.socket
    #passdb backend = ldapsam:ldapi://%2fvar%2frun%2fslapd-VM-EXAMPLE-COM.socket
    passdb backend = ipasam:ldap://Host2.vm.example.com ldap://Host1.vm.example.com
    security = USER
    create krb5 conf = No
    rpc_daemon:lsasd = fork
    rpc_daemon:epmd = fork
    rpc_server:tcpip = yes
    rpc_server:netlogon = external
    rpc_server:samr = external
    rpc_server:lsasd = external
    rpc_server:lsass = external
    rpc_server:lsarpc = external
    rpc_server:epmapper = external
    ldapsam:trusted = yes
    idmap config * : backend = tdb

    ldap admin dn = cn=Directory Manager

[homes]
    comment = Home Directories
    valid users = %S, %D%w%S
    browseable = No
    read only = No
    inherit acls = Yes
EOFCONF
systemctl restart smb.service
0
bgStack15