Samba/InterdomainTrustRelationships
Samba: Установка междоменных доверительных отношений
Задача
- Есть 2 домена DomA и DomB (принадлежащие разным организациям) с samba в качестве PDC.
- Нужно обеспечить доступ некоторых пользователей одного домена к ресурсам другого, и на оборот.
- Обе самбы используют LDAP (каждая -- своё дерево).
- Корень деревьев LDAP общий.
- NSS/PAM используют LDAP и видят всех пользователей.
- Обе самбы настроены так (шаблон):
ldap suffix = dc=<общий корень> ldap <*> suffix = ou=<*>,dc=<домен>
Описание решения
Решать данную задачу буду через доверительные отношения между доменами. Т. к. судя по документации (см. http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/InterdomainTrusts.html) такие отношения однонаправленные, то потребуется установить их пару.
Установка доверительных отношений DomA -- > DomB
Сначала настроем отношения DomA -- > DomB (отношения DomB -- > DomA настраиваются аналогично).
Действия в DomB
Создаём trust account (через smbldap-useradd, т. к. LDAP) и задаём пароль для него:
# smbldap-useradd -i DomA New password : Retype new password :
Действия в DomA
Подключаем домен DomA к DomB (вводя пароль заданный на предыдущем шаге):
# net rpc trustdom establish DomB Password: Could not connect to server PDCDOMB Trust to domain DomB established
После данных действий (несмотря на диагностику) пользователи домена DomB видны PDC домена DomA.
Установка доверительных отношений DomB -- > DomA
Полностью аналогична предыдущему пункту.
Настройка разрешений
В этом вопросе полной ясности у меня нет...
Точнее, на данный момент пользователь DomA (DOMA\user) может получить доступ к ресурсу DomB (//PDCDOMB/share) только если его sambaSID (и/или sambaSID группы к которой он принадлежит) указать поле sambaSIDList группы домена DomB имеющей к данному ресурсу доступ. Но я не разобрался как и какими samb`овскими утилитами это нужно делать. (Делаю через прямое редактирование LDAP базы...)