如何允许计算机/计算机帐户对Samba AD域成员进行身份验证？

Question

问题

试图从WindowsServer2019连接到Samba服务器上的网络共享，因为系统帐户会导致The password is invalid for \\server\share，然后是一个新的提示。预期结果是The command completed successfully.

当我试图连接到共享时，Samba服务器上机器的日志显示：

get_user_from_kerberos_info: Username DOMAIN\COMPUTER$ is invalid on this system

所以问题是:为什么？如何允许成员服务器对计算机帐户进行身份验证？

背景

我最近重新配置了一个Samba服务器(v4.5.16)，并在2008年R2功能级别将其加入到一个Samba支持的Active域。我已经设置了一个使用Windows共享，为经过身份验证的用户和域计算机以及共享上的每个人提供读取和执行NTFS权限。使用Windows2019框上的常规用户帐户进行浏览和net use测试是很好的。一切都很好很好。

但!由于此共享保存通过组策略对象(GPO)进行软件部署的安装文件，因此它还需要机器帐户(例如计算机$)可以访问，但显然不是，尽管它还授予每个人读取权限。我在测试

psexec -i -s cmd.exe
net use \\server\share /user:%computername%$

...and，那就是我看到问题的时候。

我还启用了Windows安装程序日志记录，它只是说源(\\server\share\path\to\installer)无效。

在此之前，一切都很好(在启动时成功部署的软件)和旧的Windows机器(2003-2008年)，因为共享已经启用了来宾访问，但是Windows10+和2016+在默认情况下不再允许这样做。(我确实测试了也允许它，但结果只有相同的密码提示。)

FWIW，托管此共享的Samba域成员设置为使用广告idmap后端和RFC2307选项。因此，我尝试在域中的计算机帐户中添加一个uidNumber，但没有任何效果。

我已经在这里结束了我的智慧，花了两天的大部分时间来搜索，测试，诅咒等等，所以我现在谦卑地寻求ServerFault的集体智慧。

感谢您的时间和关注！

Answer 1

首先，我很抱歉没有在评论中提到这一点，但我没有足够的声誉去这么做。

在你最初的帖子上澄清-当你说：

因此，我尝试在域中的计算机帐户中添加一个uidNumber，但没有任何效果。

这是否意味着您尝试将一个uidNumber添加到Samba盒的计算机帐户，还是试图对共享进行身份验证的计算机帐户？

我之所以问这个问题，是因为我认为在Samba框上创建计算机$帐户可能并不必要。对于机器帐户，我不能肯定地说，但我必须获得一个托管服务帐户，SQL使用这个帐户来对Samba共享进行身份验证(运行v4.8.5，也使用AD后端，使用schema_mode rfc2307)，而我所要做的就是为AD中的MSA添加uidNumber属性以使其正常工作。一旦我这样做了，我可以从日志中看到它改变了

用户名域\MSA$在此系统上无效

至：

成功的AuthZ:用户.

就像这样，我的BACKUP DATABASE作业从SQL (以MSA的身份运行)到那个共享开始工作。

由于当涉及到身份验证等问题时，MSA被视为计算机帐户，因此如果相同的修复(只是将一个有效的uidNumber分配给您希望能够访问该共享的客户端计算机帐户，确保分配的号码在您为该域定义的范围内)也适用于此场景，我不会感到惊讶(事实上，如果它不起作用，我会非常惊讶)。

Answer 2

终于弄明白了！有了这个错误，您只需在Samba框上创建一个名为COMPUTER$的用户。由于我正在为idmap使用AD后端，所以我还必须在计算机$帐户中手动设置AD中的uidNumber，并在创建UNIX用户时指定相同的uid，例如adduser --force-badname "COMPUTER$" --uid 999000。

现在，要了解如何使Samba在新用户尝试对Samba进行身份验证时自动执行此操作……