SAMBA SERVER 整合Windows AD 驗證

因為某些原故，需要架設SAMBA SERVER(要使用WINDOWS AD驗證)

所幸在openSUSE/ SLES 中，架設SAMBA SERVER 整合WINDOWS AD驗證真的是非常簡單的一件事`，以下簡單紀錄一下設定的小步驟：

加入網域

   打開yast - 網路服務的分類中找到 windows 網域成員

   網域或工作群組中 輸入 domain.com.tw
   Linux驗證也使用smb資訊  打勾
   確定後會要求輸入 domain admin 的帳號加入網域。

基本上這邊就已經完成了，你沒看錯就是這麼簡單！
接著只要設定好分享就完成了！

下面我們繼續看看更細部的設定。

 分享目錄的設置範例

建立分享資料夾，您可以建立好後，再改變資料夾成網域帳號的權限

# mkdir /path/share
# chown 'domain account' /path/share
# chgrp 'domail user' /path/share

您也可以切換成網域身分，來建立要分享的資料夾

# su 'Domain\user'
# mkdir /path/share

接著修改smb.conf，加入分享資料夾的設定

# cp /etc/samba/smb.conf /etc/samba/smb.conf.bak
#vi /etc/samba/smb.conf
#分享的目錄
[share]
path = /path/share　
writeable = yes

啟動SMB 服務，就大功告成
#　rcsmb start

修改SAMBA設定 ，支援 MS 的 User Security

 如果要讓分享的資料夾，可以直接經由 windows 的檔案總管來修改權限！
  首先先確認是否啟用ACL

# vi /etc/fstab

 /dev/sda1             /path                ext3       acl,default        1 2

# mount -ro,remount /dev/sda1

 接著修改smb.conf檔，分享的選項加入nt acl support = yes

# vi /etc/samba/smb.conf

[share]

path = /path/share　
nt acl support = yes
writeable = yes

 重新啟動SAMBA
 # rcsmb restart

加上本機帳號驗證
除了採用AD驗證之外，也要同時加入本機帳號驗證登入使用

首先建立本機帳號

# userad user1

加入到Samba 帳號

# pdbedit -a -u user1

 接著透過修改權限，新增本機帳號存取看看！


支援NTLMv2 Authentication
如果用戶端的電腦是VISTA/WIN7/2008/2008 R2 （我猜應該只要是 NT 6.0都會），會無法登入SAMBA伺服器。
後來查了一下，才發現是NTLMv2在搞鬼（誤）。
您可以透過修改以下設定，讓您的SAMBA來支援。

# vi /etc/samba/smb.conf

[global]
ntlm auth = No
client ntlmv2 auth = Yes
client ntlm auth = No

 當然您也可以透過修改用戶端電腦來達成。
 本機安全性原則（secpol.msc) → 本機原則 → 安全性選項 → 網路安全性: LAN Manager 驗證等級
修改為 "傳送LM和NTLM - 如有交涉，使用 NTLMv2 工作階段安全性"


 ===
參考來源：

SLES 10 Samba Server with Windows Server 驗證小記
使用 Samba 架設 File Server，整合 AD 2003 帳號，並支援 User Security
鳥哥的 Linux 私房菜 -  第十六章、檔案伺服器之二： SAMBA 伺服器 
samba-ACL
Samba and NTLMv2 Authentication
Windows Vista / Windows 7 無法登入 NAS 或 Samba 的解法