ในโครงสร้างพื้นฐานที่ใช้ Linux ฉันเรียกใช้ MIT Kerberos และ LDAP สำหรับการรับรองความถูกต้อง สำหรับไคลเอ็นต์ Windows VM เพียงไม่กี่เครื่อง ฉันใช้เซิร์ฟเวอร์ไฟล์แบบสแตนด์อโลนของ Samba มีบัญชีที่จัดเก็บไว้ใน LDAP ด้วย โครงสร้างพื้นฐานมีอายุหลายทศวรรษและเป็นส่วนที่เหลือของโดเมน NT
ตอนนี้ฉันมีไซต์ที่สองแล้ว ฉันโคลนไฟล์เซิร์ฟเวอร์และตั้งค่าเซิร์ฟเวอร์ Samba ใหม่ ฉันตาม โพสต์นี้ หรือ โพสต์นี้ ในอดีตและเซิร์ฟเวอร์แบบสแตนด์อโลนของฉันทั้งหมดมี SID เดียวกัน เนื่องจากมิฉะนั้นเซิร์ฟเวอร์จะไม่สามารถตรวจสอบสิทธิ์ผู้ใช้ได้
ดังนั้น ฉันจึงคัดลอก SID สำหรับเวิร์กกรุ๊ปของฉันไปยังรายการ sambaDomainName ใหม่ที่สร้างโดยเซิร์ฟเวอร์ใหม่ของฉัน เช่นเดียวกับที่ฉันทำเมื่อสองสามปีก่อนสำหรับเซิร์ฟเวอร์เก่า
ในขณะที่ฉันยังสามารถเมานต์การแชร์ของเซิร์ฟเวอร์เก่าของฉัน การพยายามเมานต์การแชร์จากเซิร์ฟเวอร์ใหม่จะทำให้เกิด ERROR_INVALID_SID จาก Win10 ในทำนองเดียวกัน CIFS mount ให้ผลตอบแทน
[247902.830949] CIFS: กำลังพยายามเมานต์ //new_server/public
[247902.994871] CIFS: รหัสสถานะส่งคืน 0xc0000078 STATUS_INVALID_SID
[247902.994889] CIFS: VFS: \new_server ส่งข้อผิดพลาดใน SessSetup = -5
[247902.994925] CIFS: VFS: cifs_mount ล้มเหลว w/return code = -5
มีความคิดว่าทำไม SID ไม่ถูกต้อง? ฉันไม่เห็นความแตกต่างใดๆ กับ SID อื่น; ไม่โดย net getlocalsid, หรือโดย ldapsearch หรือ ApacheDirectoryStudio.
ฉันรู้ว่ามันเป็นทางออกที่แฮ็ก การย้ายไปยัง AD นั้นไม่มีทางเลือก เนื่องจากฉันได้ยินมาว่า Microsoft อาจทิ้งโดเมน NT ในเร็วๆ นี้ ฉันจึงไม่ต้องการตั้งค่าระบบ PDC / BDC อีก ที่จริงแล้ว โซลูชันการคัดลอก SID เป็นการแก้ไขในช่วงเวลาที่แซมบ้ามีบั๊กที่รู้จัก เข้าร่วมสุทธิ.
มีวิธีอื่นในการมีเซิร์ฟเวอร์ samba หลายเครื่องโดยใช้ ldapsam เดียวกันหรือไม่
เหตุใดจึงเรียกใช้ Samba เป็น AD DC ไม่ใช่ตัวเลือก ฉันถามสิ่งนี้เพราะนี่อาจเป็นคำตอบของคุณ Microsoft ทิ้งโดเมน NT เมื่อประมาณ 15 ปีที่แล้ว Samba กำลังพยายามลบโดเมนสไตล์ NT4 ดังนั้นฉันจึงไม่แนะนำให้ตั้งค่าใหม่
ปัญหาหายไปหลังจากรีบูตไฟล์เซิร์ฟเวอร์หลังจากเกิดเคอร์เนลแพนิคที่ไม่เกี่ยวข้องกับ Samba ตอนนี้ฉันสามารถติดตั้งการแชร์ทั้งหมดจาก Win10 หรือผ่าน Linux CIFS ฉันยังสามารถเมานต์การแชร์จากทั้งสองเซิร์ฟเวอร์พร้อมกันได้ แม้ว่าจะใช้ SID เดียวกัน!
ฉันไม่รู้ว่าฉันได้เปลี่ยนแปลงอะไรในระหว่างนั้น แต่บางที เริ่มบริการ nmbd ใหม่ และ บริการ smbd เริ่มต้นใหม่ ไม่เพียงพอที่จะทำให้การเปลี่ยนแปลงบางอย่างมีผล
ในสภาพแวดล้อมพิเศษของฉัน ฉันยังคงคิดว่าการแฮ็กนี้เป็นวิธีแก้ปัญหาที่สมเหตุสมผลโปรดใช้ AD หากคุณต้องสนับสนุนไคลเอนต์ Windows สำหรับการใช้งานทั่วไป หรือหากเซิร์ฟเวอร์ Samba มีบทบาทใดๆ ในแนวคิดด้านความปลอดภัยของคุณ
ขอบคุณ Rowland ที่ติดต่อฉันที่นี่
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
