Обходной путь
==========
Установка "gensec: require_pac = true" в smb.conf делает поиск DOMAIN \ user успешным из-за заполнения кеша в winbind, при условии, что nss_winbind используется и пути ошибок не обнаружены.
Было бы разумно заранее создать отключенных пользователей в сопоставлении Active Directory для всех привилегированных имен, не содержащихся в Active Directory, например
samba-tool user add root -H ldap://$SERVER -U$USERNAME%$PASSWORD --random-password
samba-tool user add ubuntu -H ldap://$SERVER -U$USERNAME%$PASSWORD --random-password
...
(повторить, например, для всех системных пользователей младше 1000 в /etc/passwd или специальных для любых других служб, подключенных к AD, например, возможно, «admin» для веб-приложения)
По возможности также рекомендуется установить для ms-DS-MachineAccountQuota значение 0 в домене Active Directory.
Следующие настройки могут быть дополнительными средствами защиты (но они еще не были явно проверены):
1. Использование опции «недопустимые пользователи», обратите внимание, что это необходимо указать в разделе [global], а также в каждом общем ресурсе с существующей опцией «недопустимые пользователи», например:
invalid users = root, ubuntu
2. Использование «obey pam sizes = yes» вместе с чем-то вроде «account required pam_succeed_if.so quiet uid> = 1000» в конфигурации pam для «samba», обратитесь к «man 8 pam_succeed_if». |
