web-dev-qa-db-fra.com

Configuration Samba pour l'accès au domaine Windows

Contexte:

Je suis en train de configurer une machine Linux pour un bureau de comptabilité local. Le but de cette boîte est d’atténuer la menace que représentent les virus ayant accès au réseau via des clés USB. N'oubliez pas que ce bureau a besoin de la plus grande sécurité possible. Ma configuration tente de tirer parti de Samba pour permettre aux membres du serveur Windows 2008 Server déjà configuré (et hautement sécurisé) d'accéder au partage Samba. J'ai ajouté le nom d'utilisateur de chacune des personnes qui doivent accéder au système Linux sur le système, mais je n'ai pas ajouté de mots de passe, car les mots de passe sur le serveur Windows doivent changer assez souvent. Tenter de gérer une base de données de mots de passe sous Linux est à éviter autant que possible.

Exigences:

  • Aucune authentification par mot de passe n'est requise pour que les utilisateurs Windows connectés puissent accéder au partage Samba.
  • Aussi peu que possible de manipuler les politiques de sécurité Windows actuelles.
  • Tous les utilisateurs qui accèdent au partage doivent avoir des autorisations de lecture et d’écriture complètes (l’exécution n’est PAS nécessaire).

Problème:

Actuellement, toutes les tentatives de connexion au serveur Samba par des utilisateurs non authentifiés rencontrent une erreur du côté Windows: "L'accès à la ressource {insérer une adresse IP} a été interdit". Samba tourne avec le fichier smb.conf que j'ai construit à partir de zéro:

[global]
    workgroup = {Windows Domain Name}
    server string = Removable Media Server
    security = share
[media]
    path = /media
    writable = yes
    browsable = yes
    guest ok = yes
    guest only = yes
    force directory mode = 0666
    force create mode = 0666

La version de Samba est 3.6.9. La commande testparm de Samba ne renvoie aucune erreur. J'ai toujours redémarré le serveur Samba après avoir modifié la configuration de Samba.

Ce que j'ai essayé

Dans smb.conf:

  • Définition de la sécurité pour l'utilisateur.
  • Et à peu près tous les paramètres que j'ai rencontrés.

Autres choses à noter:

Le partage Samba IS vu par le domaine Windows et est réellement accessible à partir d'une session d'administrateur Windows.

Une dernière chose: je suis très nouveau sur Samba, alors supportez-moi.

2
firstofth300

J'ai résolu mon propre problème aujourd'hui et la réponse n'avait rien à voir avec les permissions samba ou même avec Linux en général ($ # @!! $ # @! ~ ~ WINDOWS!).

Windows a une bizarrerie spéciale dans laquelle il n'autorise aucun utilisateur à effectuer une recherche sur le réseau par IP SI l'utilisateur n'est pas autorisé à utiliser la commande Invite (il n'a fallu que près de 100 recherches Google pour trouver, sans blague). Après avoir corrigé les autorisations de groupe pour activer la commande Invite pour tous les utilisateurs pour lesquels elle avait été désactivée, l’ensemble de la configuration a fonctionné à merveille. :)

0
firstofth300

Eh bien, la première chose que je voulais suggérer était de définir:

security = domain

Mais ensuite, j'ai vu cela dans le chapitre du doc ​​de Samba sur l'appartenance à un domaine:

Actuellement, la sécurité de domaine dans Samba ne vous libère pas de la nécessité de créer des utilisateurs UNIX locaux pour représenter les utilisateurs qui se connectent à votre serveur. Cela signifie que si l'utilisateur de domaine DOM\fred se connecte à votre serveur Samba de sécurité de domaine, il doit exister un utilisateur UNIX local fred pour le représenter dans le système de fichiers UNIX.

Est-il possible pour vous de créer un compte pour chaque utilisateur qui se connectera?

Je n'ai jamais configuré de partage Samba dans un domaine Windows, mais voici un lien vers le document Samba sur la menagerie du domaine que j'ai cité ci-dessus: adhésion au domaine Samba

Jetez un coup d'oeil à la doc, et peut-être que ça vous aidera avec ce que vous devez faire.

0
Aaron