Sambaファイルサーバー+ AD + SSSD(Winbindなし)

Sambaファイルサーバー+ AD + SSSD(Winbindなし)

現在、SSSD +自動SID-> UIDマッピング/生成を使用する統合CentOS8サーバーADがあります。 ADグループを使用するためにいくつかのファイル共有を設定したいのですが、設定に問題があります。 winbindなしでサンプル構成を持っている人はいますか?現在、以下があります。

[global]
   workgroup = <domain netbios name>

   security = ads
   realm = <domain fqdn>
   domain master = no
   local master = no
   preferred master = no

   client min protocol = SMB3

   vfs objects = acl_xattr
   map acl inherit = yes

   log level = 5

   idmap config * : backend =  sss
   idmap config * : range = 10001-2000100000

   kerberos method = secrets and keytab

私はSambaの設定に慣れていないので、それらのいくつかが理解できないか重複しているかもしれません。 Sambaを起動しようとすると、次のエラーが発生します。

[2021/02/08 19:26:53.511544,  3] ../../source3/auth/token_util.c:788(finalize_local_nt_token)
Failed to check for local Guests membership (NT_STATUS_INVALID_PARAMETER_MIX)
[2021/02/08 19:26:53.511550,  0] ../../source3/auth/auth_util.c:1403(make_new_session_info_guest)
create_local_token failed: NT_STATUS_INVALID_PARAMETER_MIX
[2021/02/08 19:26:53.511603,  0] ../../source3/smbd/server.c:2052(main)
ERROR: failed to setup guest info.

ありがとう

答え1

winbindなしで認証にSSSD / Kerberosを使用し、共有へのWindows ADグループアクセスを制御する小さなタスクSamba設定があります。もともとここから設定を取得しました。http://www.hexblot.com/blog/centos-7-active-directory-and-samba。私はサンバの専門家ではないので、多くの説明をすることはできませんが、この記事であなたが探している方向を教えてください。サーバーは現在Debian 10.8、Samba 4.9.5、SSSD 1.16.3を実行しています。

以下はsmb.confのグローバルセクションと共有です。

[global]
workgroup = <domain netbios name>
security = ads
encrypt passwords = yes
passdb backend = tdbsam
realm = <kerberos realm (normally domain FQDN in all caps)>
map to guest = Bad User
kerberos method = secrets and keytab

# Not interested in printers
load printers = no
cups options = raw

# This stops an annoying message from appearing in logs
printcap name = /dev/null

[backups]
comment = My shared folder
path = /srv/smbshares/backups
public = no
writable = yes
guest ok = no
valid users = @"[email protected]"
create mask = 660
directory mask = 770

それは私が確かに言うことができるものですが、実験する時間がないので、いくつかの推測を提供します。私の設定とあなたの設定の間で私が見つけた大きな違いの1つは、idmapを使用し、私は使用しないことです。エラーにはローカルグループメンバーシップの問題が記載されているため、ここに問題があると思われます。 tdbをデフォルト(*)ドメインバックエンドとして指定し、sssをドメイン固有のバックエンドとして指定しましたか(このようなもの - 参照)https://www.mankier.com/8/idmap_sss):

idmap config <AD-DOMAIN-SHORTNAME> : backend        = sss
idmap config <AD-DOMAIN-SHORTNAME> : range          = 200000-2147483647
idmap config * : backend        = tdb
idmap config * : range          = 100000-199999

関連情報