昨天我将我的 Fedora box 升级到最新版本,然后我也升级了 samba,现在使用的是 samba 4。我曾经在没有用户/密码的情况下从家里的任何计算机访问这些共享,但现在似乎有问题配置。
这是我的 smb.conf
[global]
workgroup = mygroup
server string = Samba Server Version %v
netbios name = HOME-WS
log file = /var/log/samba/log.%m
max log size = 50
guest ok = yes
security = share
[Media]
path = /mnt/Media
read only = yes
browseable = yes
guest ok = yes
guest only = yes
[Music]
path = /mnt/Music
read only = yes
browseable = yes
guest ok = yes
guest only = yes
查看日志,有一个与安全参数相关的警告
WARNING: …一些安装了 Windows 10 1709(而不是从 1703 升级)的 PC 无法连接到在 Samba (Ubuntu 17.10) 上运行的网络共享。事件日志中的条目表明原因似乎是 Windows 10 1709禁用了访客访问。
最初,共享本身受到保护,但访客可以通过连接到\\samba.company.com来浏览可用的共享。我添加restrict anonymous = 2到smb.conf,现在 Windows 资源管理器在访问\\samba.company.com时提示登录。但是,那些 Windows 10 1709 PC 仍然无法连接到 Samba 共享。
我发现的大多数文章都讨论了在 Windows 10 上启用访客访问。是否可以在 Samba 上禁用访客访问?
我使用 samba4 域帐户登录我的笔记本电脑。我想尝试zsh一下,但由于我的用户不在,/etc/passwd我发现chsh找不到我的用户。谁能建议我如何改变我的login_shell?
我看不到我的任何东西ldap.conf,nssswitch.conf或任何/etc/pam.d,帮助...
看着域控制器,我想也许我可以使用 samba-tool,但我没有看到任何帮助指向正确方向的帮助......
我们在 Ubuntu 14.04 LTS 上使用 Samba 作为具有漫游配置文件的 PDC(主域控制器)。一切正常,除非我们尝试通过设置强制加密:
server signing = mandatory
smb encrypt = mandatory
在[global]/etc/samba/smb.conf 部分。这样做后,win 8.0和win 8.1客户端(其他的没试过)抱怨:本文Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden.英文翻译:The trust relationship between this workstation and the primary domain could not be established.
如果再加上两个选项server signing,并smb encrypt仅向[profiles]smb.conf文件的部分,则tcpdump显示,实际流量是不加密的!
完整的 smb.conf:
[global]
workgroup = DOMAIN
server string = %h PDC
netbios name = HOSTNAME
wins support = true …也许我的标题不正确,但此时我不知道如何命名。
如果我使用主 AD 域管理员帐户登录 Windows 10 计算机,则在输入语言设置应用程序时收到错误消息。
(我的 Windows 是另一种语言,所以这不是英文的实际字符串,而只是我的翻译:)
c:\windows\system32\SystemSettingsAdminFlows.exe
Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item.
看来我可以很好地进行更改,甚至可以保存它们,我只需要继续单击错误消息,至少 5-6 次。
当我在同一台机器上使用本地管理员帐户登录时,不会出现此问题。
我检查了本地管理员组,AD 域管理员是其中的一部分。否则我真的可以做几乎所有的事情。
我什至不能在这里提供一个好问题,我只是想了解发生了什么,以及我是否遗漏了配置中的某些内容。
更新:
C:\Users\Administrator>icacls c:\windows\System32\SystemSettingsAdminFlows.exe
c:\windows\System32\SystemSettingsAdminFlows.exe NT SERVICE\TrustedInstaller:(F)
VORDEFINIERT\Administratoren:(RX)
NT-AUTORITÄT\SYSTEM:(RX)
VORDEFINIERT\Benutzer:(RX)
ZERTIFIZIERUNGSSTELLE FÜR ANWENDUNGSPAKETE\ALLE ANWENDUNGSPAKETE:(RX)
1 Dateien erfolgreich verarbeitet, bei 0 Dateien ist ein Verarbeitungsfehler aufgetreten.
C:\Users\Administrator>whoami /groups
GRUPPENINFORMATIONEN
--------------------
Gruppenname Typ SID Attribute
==================================================== =============== ============================================= ================================================================================
Jeder Bekannte Gruppe S-1-1-0 Verbindliche Gruppe, …我一直都明白有五个 FSMO 角色,但有时我看到有人说有七个。真的有几个?
samba 中的 testparm 可能会产生此消息:
rlimit_max: rlimit_max (8192) below minimum Windows limit (16384)
这似乎可以通过使用此 Linux 命令增加最大打开文件限制来解决ulimit -n 16384。
对于典型的 Samba 盒子来说,这是一个安全的改变吗?这个设置应该存储在哪里,以便它在启动时可供 samba 服务使用?
我正在为一位即将将 samba4 部署到 1400 个远程站点的客户设置测试环境,但我遇到了一个问题。毕竟,我的工作是遇到问题然后解决它们。
我已经配置了密码复制策略以允许将某些帐户缓存在 RODC 上,然后将这些帐户填充到 RODC:
sles-shire:~ # samba-tool rodc preload 'win7-shire$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2]
sles-shire:~ # samba-tool rodc preload 'win7-shire-2$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[1]
sles-shire:~ # samba-tool rodc preload 'bilbo' …我按照Samba AD DC HOWTO在 ubuntu 14.04 上设置了一个 samba 4 活动目录。原则上一切正常,但我坚持使用 SPN 为 Web 应用程序运行 kerberos 身份验证。当我尝试跑步时
kinit -k -t keytabfile http/myserver.mycompany.com
我总是得到一个
kinit: Client not found in Kerberos database while getting initial credentials
到目前为止我已经检查过的内容:
我创建了服务帐户/SPNs/keytabs,如下所示:
samba-tool user create $ADS_USER $ADS_PW --userou=$USER_OU
samba-tool user setexpiry --noexpiry $ADS_USER
samba-tool spn add ${SERVICE_TYPE}/${SERVICE_HOST}.${MY_DOMAIN} $ADS_USER
samba-tool spn add ${SERVICE_TYPE}/${SERVICE_HOST} $ADS_USER
samba-tool spn list $ADS_USER …在 CIFS/SMB 协议中,我看到有 3 种类型的文件句柄:持久性、弹性和持久性。它们之间有什么区别?