+ |
Обходной путь |
+ |
========== |
+ |
|
+ |
Установка "gensec: require_pac = true" в smb.conf делает поиск DOMAIN \ user успешным из-за заполнения кеша в winbind, при условии, что nss_winbind используется и пути ошибок не обнаружены. |
+ |
|
+ |
Было бы разумно заранее создать отключенных пользователей в сопоставлении Active Directory для всех привилегированных имен, не содержащихся в Active Directory, например |
+ |
|
+ |
samba-tool user add root -H ldap://$SERVER -U$USERNAME%$PASSWORD --random-password |
+ |
samba-tool user add ubuntu -H ldap://$SERVER -U$USERNAME%$PASSWORD --random-password |
+ |
... |
+ |
|
+ |
(повторить, например, для всех системных пользователей младше 1000 в /etc/passwd или специальных для любых других служб, подключенных к AD, например, возможно, «admin» для веб-приложения) |
+ |
|
+ |
По возможности также рекомендуется установить для ms-DS-MachineAccountQuota значение 0 в домене Active Directory. |
+ |
|
+ |
Следующие настройки могут быть дополнительными средствами защиты (но они еще не были явно проверены): |
+ |
|
+ |
1. Использование опции «недопустимые пользователи», обратите внимание, что это необходимо указать в разделе [global], а также в каждом общем ресурсе с существующей опцией «недопустимые пользователи», например: |
+ |
|
+ |
invalid users = root, ubuntu |
+ |
|
+ |
2. Использование «obey pam sizes = yes» вместе с чем-то вроде «account required pam_succeed_if.so quiet uid> = 1000» в конфигурации pam для «samba», обратитесь к «man 8 pam_succeed_if». |