私は以下を使用しています:
- FreeBSD 12.1、p10 amb64をリリース
- サンバ 4.10.17
- SSD 1.11.7
Windows 2012R2からWindows 2019にActive Directoryをアップグレードしようとしています。従来の設定では、2012 ADにunix属性を追加し、Winbindを使用してADと統合しました。
新しい設定では、unixプロパティを使用せずにSSSD + Sambaを使用してADと統合しようとしています。 SSSDを設定してADに接続できました。 ADユーザーとしてログインし、ローカルユーザーのようにADユーザーを照会できるようにPAMとNSSwitchを変更しました。
aclmodeとaclinheritがパススルーに設定されているZFS Zvolを指すテスト共有があります。ユーザーアカウントのみが機能するようにできます。グループACLを設定してもアクセス権が付与されないようです。
setfacl を使用して ACL を設定すると、BSD と Windows サーバーの両方で正常に動作します。 Windows側で、プロパティ - >セキュリティタブを表示すると、ユーザーは「フルネーム[Unix User \ Username]」の代わりに「Username [Unix User \ Username]」と表示されます。[Eメール保護]]"私のWindows 2012R2設定で。
ログに役立つコンテンツが見つかりません。問題が何であるかはわかりませんが、グループ/ aclの問題とWindows / SambaがUnixユーザーではなくADユーザーとして設定されているユーザー/グループを認識しないことが両方とも問題の症状だと思います。
krb5.conf
[libdefaults]
default_realm = DERP.WHATEVER.COM
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES-CBC-MD5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES-CBC-MD5
preferred_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES-CBC-MD5
[realms]
[domain_relay]
[appdefaults]
pam = {
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
}
nsswitch.conf
group: files sss
group_compat: files
hosts: files dns
networks: files
passwd: files sss
passwd_compat: files
shells: files
services: compat
services_compat: files
protocols: files
rpc: files
pam.d/system
# auth
auth sufficient pam_opie.so no_warn no_fake_prompts
auth requisite pam_opieaccess.so no_warn allow_local
auth sufficient pam_unix.so no_warn try_first_pass
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so
# account
account required pam_login_access.so
account required pam_unix.so
account sufficient pam_sss.so
# session
session required pam_lastlog.so no_fail
account sufficient pam_sss.so
session required pam_mkhomedir.so umask=0700
#password
password required pam_unix.so no_warn try_first_pass nullok use_authtok
password sufficient pam_sss.so use_authtok
smb4 構成ファイル
[global]
log level = 4
client signing = yes
client use spnego = yes
security = ads
server string = my-server
workgroup = DERP
log file = /var/log/samba4/log.%m
max log size = 50
realm = DERP.WHATEVER.COM
kerberos method = secrets and keytab
[test]
path = /data/test
admin users = @"domain admins"
browseable = yes
create mask = 0775
csc policy = disable
directory mask = 0775
map acl inherit = yes
map archive = No
map readonly = no
nfs4:acedup = merge
nfs4:chown = yes
nfs4:mode = special
nt acl support = yes
posix locking = yes
public = yes
strict locking = no
store dos attributes = yes
vfs objects = zfsacl full_audit
writable = yes
## ACL inheritance is done by ZFS
inherit acls = no
## Avoid chmod(2) that breaks ACL
inherit permissions = no
force create mode = 00000
force directory mode = 00000
store dos attributes = yes
## ZFS ACL implements "write_acl" and "write_owner" permissions that
## is compatible with Windows (NT) ACL better than "dos filemode = yes"
dos filemode = no
full_audit:prefix = %u|%I|%m|%S
full_audit:success = mkdir rename unlink rmdir open close
full_audit:failure = mkdir rename unlink rmdir open close
full_audit:facility = local7
full_audit:priority = NOTICE
veto files = /Thumbs.db/.DS_Store/._.DS_Store/.apdisk/desktop.ini/