FreeBSD + SSSD + Samba + Windos Server 2019 AD:権限を設定したりファイルを作成したりすることはできません。

FreeBSD + SSSD + Samba + Windos Server 2019 AD:権限を設定したりファイルを作成したりすることはできません。

私は以下を使用しています:

  • FreeBSD 12.1、p10 amb64をリリース
  • サンバ 4.10.17
  • SSD 1.11.7

Windows 2012R2からWindows 2019にActive Directoryをアップグレードしようとしています。従来の設定では、2012 ADにunix属性を追加し、Winbindを使用してADと統合しました。

新しい設定では、unixプロパティを使用せずにSSSD + Sambaを使用してADと統合しようとしています。 SSSDを設定してADに接続できました。 ADユーザーとしてログインし、ローカルユーザーのようにADユーザーを照会できるようにPAMとNSSwitchを変更しました。

aclmodeとaclinheritがパススルーに設定されているZFS Zvolを指すテスト共有があります。ユーザーアカウントのみが機能するようにできます。グループACLを設定してもアクセス権が付与されないようです。

setfacl を使用して ACL を設定すると、BSD と Windows サーバーの両方で正常に動作します。 Windows側で、プロパティ - >セキュリティタブを表示すると、ユーザーは「フルネーム[Unix User \ Username]」の代わりに「Username [Unix User \ Username]」と表示されます。[Eメール保護]]"私のWindows 2012R2設定で。

ログに役立つコンテンツが見つかりません。問題が何であるかはわかりませんが、グループ/ aclの問題とWindows / SambaがUnixユーザーではなくADユーザーとして設定されているユーザー/グループを認識しないことが両方とも問題の症状だと思います。

krb5.conf

[libdefaults]
default_realm = DERP.WHATEVER.COM
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES-CBC-MD5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES-CBC-MD5
preferred_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES-CBC-MD5

[realms]
                                                
[domain_relay]

[appdefaults]
    pam = {
        ticket_lifetime = 24h
        renew_lifetime = 7d
        forwardable = true
    }

nsswitch.conf

group: files sss
group_compat: files
hosts: files dns
networks: files
passwd: files sss
passwd_compat: files
shells: files
services: compat
services_compat: files
protocols: files
rpc: files

pam.d/system

# auth
auth            sufficient      pam_opie.so                     no_warn no_fake_prompts
auth            requisite       pam_opieaccess.so               no_warn allow_local
auth            sufficient      pam_unix.so                     no_warn try_first_pass
auth            sufficient      pam_sss.so                      use_first_pass
auth            required        pam_deny.so

# account
account         required        pam_login_access.so
account         required        pam_unix.so
account         sufficient      pam_sss.so

# session
session         required        pam_lastlog.so                  no_fail
account         sufficient      pam_sss.so
session         required        pam_mkhomedir.so                umask=0700

#password
password        required        pam_unix.so                     no_warn try_first_pass nullok use_authtok
password        sufficient      pam_sss.so                      use_authtok    

smb4 構成ファイル

[global]
 log level = 4
 client signing = yes
 client use spnego = yes

 security = ads
 server string = my-server
 workgroup = DERP
 log file = /var/log/samba4/log.%m
 max log size = 50
 realm = DERP.WHATEVER.COM
 kerberos method = secrets and keytab


[test]
path = /data/test

admin users = @"domain admins"
browseable = yes
create mask = 0775
csc policy = disable
directory mask = 0775
map acl inherit = yes
map archive = No
map readonly = no
nfs4:acedup = merge
nfs4:chown = yes
nfs4:mode = special
nt acl support = yes
posix locking = yes
public = yes
strict locking = no
store dos attributes = yes
vfs objects = zfsacl full_audit
writable = yes

## ACL inheritance is done by ZFS
inherit acls = no
## Avoid chmod(2) that breaks ACL
inherit permissions = no
force create mode = 00000
force directory mode = 00000
store dos attributes = yes
## ZFS ACL implements "write_acl" and "write_owner" permissions that
## is compatible with Windows (NT) ACL better than "dos filemode = yes"
dos filemode = no

full_audit:prefix = %u|%I|%m|%S
full_audit:success = mkdir rename unlink rmdir open close
full_audit:failure = mkdir rename unlink rmdir open close
full_audit:facility = local7
full_audit:priority = NOTICE

veto files = /Thumbs.db/.DS_Store/._.DS_Store/.apdisk/desktop.ini/

関連情報