Tommy 碎碎念

Tommy Wu's blog

« 上一篇 | 下一篇 »

Linux 上面的 samba 加入 AD 之後的一些問題
post by tommy @ 23 三月, 2017 10:00

記錄一下當 Linux 上面透過 krb5-user 與 winbind 加入 AD 之後的一些小問題.

  • kinit 執行會失敗
通常是因為.... 大小寫不一樣造成的. 要確定帳號 @ 後面的 domain 要跟 krb5.conf 中的完全一樣.
  • 本機上的使用者無法透過 passwd 修改本機密碼

 這個部份是在 /etc/pam.d/common-password (不同的系統可能名稱不一樣), 通常會加上一筆

password [success=2 default=ignore] pam_krb5.so

的設定在 pam_unix.so 之前. 所以在執行 passwd 時, 就會去異動 AD 上的密碼, 但該使用者又非 AD 帳號, 所以會有問題.

這時可以在 pam_krb5.so 後面加上 minimum_uid=10000 的參數 (數字自行決定, 就是 AD mapping 過來的帳號的最小值), 這樣子就可以避免這個問題了.

  •  有些帳號與群組使用 wbinfo -g 或 wbinfo -u 時可以查到, 但無法在 samba 中使用

通常出現這情形時, 使用 wbinfo -i  (--user-info 或 --group-info) 時, 會無法正常取得資料. 透過 getent passwd 或 getent group 查詢時也會查不到 (所以設定好後, 建議用 getent passwd/group 來驗證是否可用, 不要用 wbinfo -u/-g).

這個問題有可能是因為在 smb.conf 中有加上這個參數造成的:

winbind normalize names = Yes

移除後就應該會正常了 (當初不知是那兒抄來的參數... 想不起來為什麼會用到).

  • samba 分享出來的路徑, 根目錄 (其他的也有可能) 無法寫入新的檔案或目錄.

這個不確定是不是 samba 新版本造成的, 因為一直以來相同的設定都可以用.

我們習慣在 smb.conf 中對該分享設定

create mode = 644
directory mode = 755
force user = nobody
force group = nogroup
force create mode = 644
force directory mode = 755
create mask = 0644

發現在新的機器上會有這個問題. 後來是改成 664 與 775 的設定, 然後把該目錄下面的權限把 group 的寫入權限也加上後, 就可以正常使用了.

Del.icio.us Furl HEMiDEMi Technorati MyShare
迴響
暱稱:
標題:
個人網頁:
電子郵件:
authimage

迴響

  

Bad Behavior 已經阻擋了 53 個過去 7 天試圖闖關的垃圾迴響與引用。
Power by LifeType. Template design by JamesHuang. Valid XHTML and CSS