Samba: Установка междоменных доверительных отношений

Задача

• Есть 2 домена DomA и DomB (принадлежащие разным организациям) с samba в качестве PDC.
• Нужно обеспечить доступ некоторых пользователей одного домена к ресурсам другого, и на оборот.
• Обе самбы используют LDAP (каждая — своё дерево).
• Корень деревьев LDAP общий.
• NSS/PAM используют LDAP и видят всех пользователей.
• Обе самбы настроены так (шаблон):

ldap suffix = dc=<общий корень> ldap <*> suffix = ou=<*>,dc=<домен>

Описание решения

Решать данную задачу буду через доверительные отношения между доменами. Т. к. судя по документации (см. http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/InterdomainTrusts.html) такие отношения однонаправленные, то потребуется установить их пару.

Установка доверительных отношений DomA — > DomB

Сначала настроем отношения DomA — > DomB (отношения DomB — > DomA настраиваются аналогично).

Действия в DomB

Создаём trust account (через smbldap-useradd, т. к. LDAP) и задаём пароль для него:

# smbldap-useradd -i DomA New password : Retype new password :

Действия в DomA

Подключаем домен DomA к DomB (вводя пароль заданный на предыдущем шаге):

# net rpc trustdom establish DomB Password: Could not connect to server PDCDOMB Trust to domain DomB established

После данных действий (несмотря на диагностику) пользователи домена DomB видны PDC домена DomA.

Установка доверительных отношений DomB — > DomA

Полностью аналогична предыдущему пункту.

Настройка разрешений

В этом вопросе полной ясности у меня нет...

Точнее, на данный момент пользователь DomA (DOMA\user) может получить доступ к ресурсу DomB (//PDCDOMB/share) только если его sambaSID (и/или sambaSID группы к которой он принадлежит) указать поле sambaSIDList группы домена DomB имеющей к данному ресурсу доступ. Но я не разобрался как и какими samb`овскими утилитами это нужно делать. (Делаю через прямое редактирование LDAP базы...)

Ссылки

• http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/InterdomainTrusts.html

Ссылок на эту страницу нет