Mi requisito básico es utilizar una máquina MacOS Monterey como servidor (sin ejecutar MacOS Server, que está obsoleto) para alojar recursos compartidos SMB mientras se utiliza Active Directory como mi fuente de cuentas de red (un servidor Ubuntu que ejecuta Samba4 AD DC), y que otros usuarios de máquinas MacOS inicien sesión utilizando la extensión Kerberos SSO (en otras palabras, sin tener que introducir credenciales para los recursos compartidos). Parecía bastante simple :)
Para el servidor, inicialmente exploré la configuración smb incorporada en Monterey (es decir, habilitar "Compartir archivos") con la máquina vinculada (enlace autenticado) al DC de AD, pero al intentar iniciar sesión a través de SMB desde las máquinas cliente (haga clic en el servidor a la izquierda de una ventana del buscador), los "Usuarios de red" no pueden ver los recursos compartidos creados por un usuario administrador local (aunque la Extensión Kerberos SSO manejó pasar las credenciales SSO sin problemas). Si iniciaba sesión en el servidor MacOS Monterey con una cuenta de Active Directory, se creaba una carpeta de inicio local y, a continuación, podía iniciar sesión automáticamente con la extensión Kerberos-SSO para ese mismo usuario como se esperaba de un equipo cliente (pero sólo podía ver la carpeta de inicio para ese usuario de red como recurso compartido, seguía sin poder ver los que había creado la cuenta de administrador local). Busqué durante mucho tiempo, probé un montón de sugerencias, pero me di por vencido con esa opción.
Me imaginé que intentaría instalar samba desde samba.org así que hice un brew install samba en la máquina del servidor Monterey. Lo configuré de forma similar a otro servidor de archivos SMB que tengo funcionando en Ubuntu (por ejemplo: seguridad = anuncios, reino configurado = AD.DOMINIO.COM, etc.) pero parece que no puedo conseguir que hable con el servidor AD DC para validar las cuentas de usuario. Me sale un montón de " NT_STATUS_NO_LOGON_SERVERS " winbindd not running "(que, por supuesto, no parece estar disponible para MacOS en estos días, a menos que me lo haya perdido). Así que - la implementación de samba.org no parece recoger los métodos que Apple ha utilizado para obtener la autenticación kerberos y la vinculación de dominio de trabajo a pesar de haber hecho que AD autenticado bind en la máquina servidor y ver la salida adecuada de sudo ktutil list (incluso cuando se configura el smb.conf para incluir password server - dc.ad.domain.com ), y parece que no soy capaz de averiguar cuáles son esos componentes subyacentes sin pasar mucho más tiempo aquí. (noté que el código de la fórmula de homebrew para samba lo compila por defecto usando --without-ads que fue el problema #7 o #8 con el que me topé - que me dijo que la fórmula recortó samba a lo básico para conseguir que compilara en un mac).
He pasado un poco de tiempo buscando a otros que pueden haber documentado esta misma configuración (host SMB comparte en un mac usando AD como la fuente de cuentas de red y Kerberos SSO Extension como método de autenticación del cliente MacOS (aunque me conformaría con simplemente introducir un nombre de usuario / contraseña y guardar eso en el llavero)) en vano. La búsqueda de MacOS y samba trae un montón de cosas de todo el camino de vuelta a 2004 (por lo que es más difícil de tamizar a través de, como algunos de los elementos más antiguos ya no son relevantes)
Pregunta:
En lugar de solucionar los problemas de mi configuración, archivos de configuración, etc (que podría tomar un tiempo), me pregunto si alguien me puede apuntar a una configuración documentada como esta que han visto que alguien ha logrado hacer funcionar? Casi he agotado las formas en que puedo buscar esta configuración. (Me doy cuenta de que esto parece una petición para hacer mi búsqueda para mí, pero en realidad sólo estoy buscando para ver si alguien ya tiene este funcionamiento y puede compartir algunos trucos que utilizan para ponerlo en marcha que puede que no haya encontrado todavía - si mi dolor suena familiar).
En su defecto, tal vez empiece un nuevo post con muchos detalles sobre mis dos enfoques aquí (incluyendo lo que ya he probado en las últimas semanas) para ver si me he perdido algo. Lo sé - tratar de conseguir un mac para alojar un servidor de archivos samba robusta probablemente no es la mejor idea (pero voy a aferrarse a ese requisito por un tiempo más antes de que decida ir con otra opción).
Gracias de antemano.
