Samba 파일 서버 + AD + SSSD(Winbind 없음)

tag-icon tag-icon samba active-directory sssd
Samba 파일 서버 + AD + SSSD(Winbind 없음)

현재 SSSD + 자동 SID->UID 매핑/생성을 사용하는 통합 CentOS8 서버 AD가 있습니다. AD 그룹을 사용하기 위해 일부 파일 공유를 설정하고 싶은데 설정하는 데 문제가 있습니다. winbind 없이 샘플 구성을 갖고 있는 사람이 있습니까? 현재 다음이 있습니다:

[global]
   workgroup = <domain netbios name>

   security = ads
   realm = <domain fqdn>
   domain master = no
   local master = no
   preferred master = no

   client min protocol = SMB3

   vfs objects = acl_xattr
   map acl inherit = yes

   log level = 5

   idmap config * : backend =  sss
   idmap config * : range = 10001-2000100000

   kerberos method = secrets and keytab

저는 Samba 설정에 익숙하지 않아서 그 중 일부가 이해가 안 되거나 중복되는 것일 수도 있습니다. Samba를 시작하려고 할 때 다음 오류가 발생합니다.

[2021/02/08 19:26:53.511544,  3] ../../source3/auth/token_util.c:788(finalize_local_nt_token)
Failed to check for local Guests membership (NT_STATUS_INVALID_PARAMETER_MIX)
[2021/02/08 19:26:53.511550,  0] ../../source3/auth/auth_util.c:1403(make_new_session_info_guest)
create_local_token failed: NT_STATUS_INVALID_PARAMETER_MIX
[2021/02/08 19:26:53.511603,  0] ../../source3/smbd/server.c:2052(main)
ERROR: failed to setup guest info.

감사해요

답변1

winbind 없이 인증을 위해 SSSD/Kerberos를 사용하고 공유에 대한 Windows AD 그룹 액세스를 제어하는 ​​소규모 작업 Samba 설정이 있습니다. 원래 여기에서 설정을 얻었습니다.http://www.hexblot.com/blog/centos-7-active-directory-and-samba. 저는 삼바 전문가가 아니기 때문에 많은 설명을 드릴 수는 없지만, 이 글이 여러분이 찾고 있는 방향을 알려주시기를 바랍니다. 서버는 현재 Debian 10.8, Samba 4.9.5 및 SSSD 1.16.3을 실행 중입니다.

다음은 smb.conf의 전역 섹션과 공유입니다.

[global]
workgroup = <domain netbios name>
security = ads
encrypt passwords = yes
passdb backend = tdbsam
realm = <kerberos realm (normally domain FQDN in all caps)>
map to guest = Bad User
kerberos method = secrets and keytab

# Not interested in printers
load printers = no
cups options = raw

# This stops an annoying message from appearing in logs
printcap name = /dev/null

[backups]
comment = My shared folder
path = /srv/smbshares/backups
public = no
writable = yes
guest ok = no
valid users = @"[email protected]"
create mask = 660
directory mask = 770

그것이 내가 확실히 말할 수 있는 것이지만 실험할 시간이 없기 때문에 몇 가지 추측을 제공하겠습니다. 내 구성과 귀하의 구성 사이에서 제가 발견한 한 가지 큰 차이점은 귀하는 idmap을 사용하고 나는 사용하지 않는다는 것입니다. 오류에는 로컬 그룹 멤버십 문제가 언급되어 있으므로 여기에 문제가 있는 것으로 의심됩니다. tdb를 기본(*) 도메인 백엔드로 지정한 다음 sss를 도메인 특정 백엔드로 지정해 보셨나요(이와 같은 것 - 참조)https://www.mankier.com/8/idmap_sss):

idmap config <AD-DOMAIN-SHORTNAME> : backend        = sss
idmap config <AD-DOMAIN-SHORTNAME> : range          = 200000-2147483647
idmap config * : backend        = tdb
idmap config * : range          = 100000-199999

관련 정보