[Sysadmins] samba в домене vs юзеры не в домене

[Evgeny Sinelnikov]

вт, 23 июн. 2020 г. в 18:25, Alexei Mezin <alexei.mezin на gmail.com>:
>
> 23.06.2020 17:20, Alexei Mezin пишет:
>
> > Сейчас, например, так:
>
> Или так:
>
> $ smbclient -U user на domain //10.17.203.251/incoming
> Unable to initialize messaging context
> Enter user на domain's password:
> session setup failed: NT_STATUS_NO_LOGON_SERVERS

Тут нужны подробности вида:
- версия клиентских библиотек samba;
- необходимость аутентификации для этих машин из домена - может быть
достаточно ходить под гостевой учётной записью с этих машин?

Или нужна аутентификация для пользователей не из домена и ходить они
должны по логину паролю? Это те же пользователи из того же домена?
Если это пользователи из того же домена, то почему бы им не ходить
через Kerberos?
kinit user на REALM
smbclient -k //server_hostname/incoming

Для этого достаточно, чтобы на узлах не из домена зона домена
разрешалась через DNS, то есть либо в качестве nameserver'а были
указаны контроллеры домена, либо nameserver перенаправлял запросы для
зоны домена на контроллеры домена.

То есть пользователи на машинах не из домена (их необязательно вводить
в домен) могут ходить в домен под своими учётками на эти узлы. Для
этого достаточно выполнить kinit. Есть для этой задачи и графическое
приложение krb5-ticket-watcher, которое запрашивает пароль из домена.
Для удобства в /etc/krb5.conf можно вписать default_realm =
DOMAIN.REALM

-- 
Sin (Sinelnikov Evgeny)