Azért válaszolok megint egy régi postra, mert nagyon vékonyodunk, én meg nem vagyok egy anorrexiás alkat:)
"Tehát megcsinálom az LDAP-ban a usert (ez idáig működik), megpróbálok vele belépni, be is enged, de nem látja a megosztását, desktop-ját, dokumentumait. Ezeket nem is hozza létre. Ezt akkor ezek szerint nekem kell minden user hozzáadás után megcsinálni?
Igen, a profiles megosztás könyvtárán belül te hozod létre a könyvtárat (pl a PHP-vel), a tulajdonlást odaadod a júzernak. Hogy jó-e, az letesztelhető: mappold fel, mint sima meghajtót. Az LDAP-ban a smbProfileDir, vagy mifene attribútum ide mutasson.
Ekkor a júzer első belogolásakor a \\pdc\netlogon\Default User -ből létrejön a c:\Doc and Set\júzernév, ami kilogoláskor már visszamásolódik a szerverre a most megcsinált könyvtárba.
Homeshare-t szintén kézzel/PHP-vel csinálsz, beírod a kívánt betűt és a path-t az LDAP-ba és megy.
Ezen a ponton az LDAP jól eltér a tdbsam backendtől: ott ugye minden user profilja és homeshare-e a profiles/%U miatt viszonylag fix nevű és nagyn fix helyű volt. Itt a fejenkénti LDAP bejegyzés miatt minden user lehet más szerveren, akármilyen megosztásban.
Ja, mért saját PHP? Az ldap-account-manager nem megy? Tölts le frisset, nagyjából jó. Főleg nekem, aki PHP-ben erősen kezdő vagyok...
"Másik probléma: root userrel sikeresen beléptettem a tartományba egy klienst, ugyanazzal a root accounttal be is tudok lépni a kliensre, de nincs admin jogom. Miért van ez? Feltételezem, hogy a group map-eléssel van gond:
# net groupmap list
Domain Admins (S-1-5-21-2150751134-181132125-2420386830-512) -> 512
Domain Users (S-1-5-21-2150751134-181132125-2420386830-513) -> 513
Domain Guests (S-1-5-21-2150751134-181132125-2420386830-514) -> 514
Domain Computers (S-1-5-21-2150751134-181132125-2420386830-515) -> 515
[...]
Itt az összes leírásban legalább az első 4 sorban group nevek vannak, nem számok."
Nálam is.
"Nekem kell létrehozni ezeket a UNIX groupokat kézzel?"
Igen, de LDAP csoportokat csinálj, ne unix csoportokat. Az más kérdés, hogy a UNIX-nak azt kell hinnie, hogy ezek saját csoportok. Akkor csináltad jól, ha az
#adduser júzernév csak-az-ldapban-létező-csoportnév
működik.
"Összefüggésben van ez azzal, hogy nem tekinti a win kliens a root-ot admin jogú felhasználónak?"
Hogyne. Ha a net groupmap jól megy, akkor
#adduser root "Domain Admins"
és jó vagy. Majdnem, mert ugye a csoportnevek csak konvenció, nincs bedrótozva (mint az NT-ben), ezért a sambának meg kell mondani külön, hogy a "Domain Admins"-nak milyen jogai legyenek. Ehhez a
#net rpc rights
parancs a barátod, meg ez:
http://samba.org/samba/docs/man/Samba-HOWTO-Collection/rights.html
Keresd a 15.1-es táblázatot.
Gudlakk.
Ja, és a root-ról szokj majd le, ha kész a domain-admins csoport (van erre valami idealix script, guglizzál), akkor hozz létre valakit, akinek a shellje /bin/false, és tedd be a csoportba és kész.
a smb.conf-ba még nem árthat egy
admin users = @"Domain Admins"
és ha megy az új admin, akkor egy
ivalid users = root
.