Sziasztok!
Adott egy debian 10 samba 4 ad-dc működik. (működni látszik)
A winbind es pam-auth konfigok után a debianra is be lehet jelentkezni az AD userekkel. Megosztásokat fel lehet csatolni a windows-os kliensekről, domainba lehet léptetni a gépeket... A getent passwd és a getent group listázza az AD felhasználókat és csoportokat.
Első problémám: nem tudom elérni, hogy a getent domain nélkül listázza a felhasználókat/csoportokat. (ez csak zavar, de együtt tudnék vele élni.)
Az igazi problémám az, hogy linux szinten nem tudom használni az AD csoportjait.
Pontosabban:
- Linux alatt oda tudom adni csoportnak a könyvtárat ("DOMAIN\csoport"), és működik is, ha bejelentkezek a felhasználóval a linuxra.
- Az smb.conf-ban tudom AD csoportra korlátozni a megosztás elérést. de minden fájl gid-je 100 lesz. (Tudom force-olni a csoportot, de akkor samba irányból már nem fér hozzá csak a tulaj, aki létrehozta.) Ha odaadom a megosztás gyökerét annak a csoportnak amelyikre korlátoztam az smb.conf-ban, akkor windows alól fel se tudom szedni a megosztást. Hiába vagyok csoporttag.
Nem szeretnék ACL-eket használni, mert nincs szükségem bonyolult jogosultság rendszerre. (Ráadásul a samba megosztásaim egy része nfs-en felcsatolt terület, az nfs4-acl-t pedig nem ismerem.)
Van esetleg valakinek tippje, hogy mit rontok el?
Hozzászólások
Amíg SzBlackY kolléga ideér, annyit tudok hozzáfűzni, hogy szerveren id -a userneve után látod a jó értékeket, ami alapján win alól dsa.msc-ben át tudod állítani helyes értékre a Unix Attributes fülön, utána jó lesz.
Most látom, hogy win 10-ben eltűnt a Unix Attributes...
SzBlackY gyere már! :)
Itt vagyok :)
winbind use default domain = yes
Dobj egy smb.conf-ot, ill. lődd fel a log level-t és próbálj csatlakozni hozzá, és küldj egy smb log-ot :)
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
A megmentŐ! :-) Köszönöm! :-)
[global]
dns forwarder = 10.10.10.1
netbios name = ADC1
realm = DOM.LAN
server role = active directory domain controller
workgroup = DOM
idmap_ldb:use rfc2307 = yes
winbind nss info = rfc2307
winbind enum users = yes
winbind enum groups = yes
template shell = /bin/bash
winbind use default domain = yes
winbind offline logon = false
tls enabled = yes
tls keyfile = tls/myKey.pem
tls certfile = tls/myCert.pem
ldap server require strong auth = no
time server = Yes
log level = 3 passdb:5 auth:10
log file = /var/log/samba/log.%m
max log size = 1000
max mux = 200
[netlogon]
path = /var/lib/samba/sysvol/dom.lan/scripts
read only = No
[share]
comment = Share on NFS
path = /mnt/adc/share/kozos
read only = no
valid users = +"DOM\kozos"
create mask = 0775
force create mode = 0775
directory mask = 0775
force directory mode = 0775
Így néz ki most az smb.conf-om.
Próbáloztam idmap config paraméterek megadásával, de nem sikerült , olyan range-eket backend-et megadni amire ne panaszkodott volna a config teszt. Ezért azokat végül nem raktam bele... :-( Már azon is túl vagyok, hogy egy üres teszt telepítés, és a provision után addig nem indítottam a samba-ad-dc-t amíg a a config tesztekkel próbáloztam.
A user ID-ket group ID-ket látom az ls -la -val, de azt nem néztem még, hogy az AD-ben mire vannak allítva ezek az értékek. Gyanítom semmire, de akkor miért van, hogy a user ID-k/nevek ("DOM\user") látszanak, azt tudja állítani a megfelelő értékre, de a csoportot nem, az csak 100 (users) tud lenni?
Ez a gond, ezzel a beállítással automatikusan megkapja a vfs_object = acl_xattr-t.
Egyébként azt javasolják, hogy ne legyen fájlszerver is DC.
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
Köszönöm, olvasok és újrapróbálkozok...