Debian 9, Samba 4.5.8 - kérdések

 ( veresh | 2017. július 27., csütörtök - 21:40 )

Sziasztok!

Debian 9-en telepítettem Samba 4.5.8-at. A domain provisiont többek között --use-rfc2307 paraméterrel futtattam. Az AD-be kb 110 db Win 10-es (és néhány Win 7-es) PC lesz beléptetve, 5-6 csoport és 500 felhasználó lesz az adatbázisban.

Eddig rendben is van minden; csoportokat, felhasználókat holnap veszem fel, de előtte lenne néhány kérdésem.

  1. A domain provision során NEM használtam a --function-level=2012_R2 paramétert, ezért jelenleg a domain level és a funmction leves is 2008 R2. Jó lesz ez így a Windows 10-es kliensekhez?
  2. Roaming profilokat tervezek beállítani, de kérdés, hogy a Win 10-es és Win 7-es profilok megférnek-e egymás mellet, úgy mint az XP-s és Win 7-es profilok?
  3. A csoportokat --nis-domain=... és --gid-number=... paraméterrel tervezem felvenni, mivel a csoportoknak (és a felhasználóknak) a Linux alatt is láthatónak kel lenni. Virtuális gépen, már teszteltem, és be is kerülnek az adatbázisba a szükséges értékek (msSFu30NisDomain, msSFu30Name, gidNumber). nnsd beállítása után látszanak is a csoportok Linux alatt. Kérdés, hogy fel kell-e vennem az (msSFu30NisDomain, msSFu30Name, gidNumber) paramétereket a Beépített "Domain Users", "Domain Admins", stb. csoportokhoz is?
  4. Hasonlóan a csoportokhoz, a felhasználókat --nis-domain, --unix-home, --uid-number, --gid-number, --login-shell és --uid paraméterezéssel hozom létre. Kérdés, hogy az Administrator beépített felhasználónak fel kell-e venni ezeket az értékeket?
  5. A felhasználók home könyvtárait Linux-on a /home/elsodleges_csoport/uid útvonalon tervezem létrehozni az alapértelmezett /home/DOMAIN/uid helyett. Okozhat ez valamilyen problémát a későbbiekben?
  6. Kell a winbindet telepíteni a Samba AD megfelelő működéséhez?
  7. A Samba AD-s felhasználó Linuxon való láthatóságát sssd-vel vagy winbind-del célszerű beállítani? Egyáltalán beállítható ez megfelelően winbind-del? (sssd-vel teszteltem, azzal úgy tűnik, hogy működik)

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

1. Ha nem akarod használni a W7 utáni kliensek új funkcióit (az egyetlen, amivel eddig szemezgettem, az a primaryComputer, roaming profilos környezetbe jól jöhet - de még W7 klienseket használunk legnagyobb részt, úgyhogy nem foglalkoztam vele különösebben), akkor elvileg jó lesz. (Egyébként bármikor tudod emelni, de legyen back-upod az összes tdb fájlról)
2. Megférnek, a W10 a v5 suffixet használja.
6. Kell, csak a szolgáltatást nem kell (/szabad) elindítani [az nmbd/smbd/winbind legyen tiltva], a samba majd indítja magának.
7. Kliensre én is sssd-vel mennék (vagy ha van, akkor realmd-vel), DC-n és Samba fájlszerveren szvsz. jobb a winbind.

3,4. ID mapping: [szigorúan vélemény következik - felelősséget nem vállalok!] ha nincsenek nem-SMB klienseid, akkor kb. felesleges foglalkozni vele, csak akkor van lényege a konzisztens uid-eknek/gid-eknek, ha olyan protokollon is mozgatsz fájlokat, ami nem usernév alapján azonosít (rsync, nfs, ...).
A DC-ken futó winbind mindig az AD-ben levő uid-et/gid-et fogja használni, ha pedig nincs megadva, akkor a helyi idmap.tdb-be beszúr egy új bejegyzést a hozzárendelt id-vel (viszont ha utólag mégis rendelsz hozzá az AD-ben, akkor már azt fogja használni, tehát a korábban létrehozott fájloknál nem fog stimmelni az uid).
Ha a home mappák member serveren lesznek (hivatalosan "nem illik" DC-t fájlkiszolgálásra is használni), azon konfigolnod kell az idmap-et (idmap config * backend = tdb, idmap config DOMAIN : backend = ad).

Ha viszont a winbind-ra bízod a userek láthatóságát, akkor használhatod a rid back-endet (tdb fallbackkel), és akkor konzisztens uid-okat kapsz anélkül, hogy kézzel menedzselned kéne.

(ezen a részen nem ok nélkül váltják meg 1-2 évente a világot, mindig jön egy "naezmármindenrejólesz" megoldás, aztán kiderül, hogy mégsem... meg kell tippelned, hogy hogyan fogják használni és az ahhoz legjobb megoldást választanod)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

2. Megférnek, a W10 a v5 suffixet használja.
illetve .V6

de had kérdezzek én is. Most szabin vannak a felhasználóim, van időm játszadozni, így az smb1-et leváltottam 2-re (javasolják a szakértők a néhány hónappal ezelőtti események miatt) gondoltam a w10 sokadik nagyfrissítése után felnőtt a feladathoz.
Meglepetésemre a w7 és w8 simán kommunikált a szerverrel, de a 10-eseken nem bírtam bejelentkezni, pedig kikényszerítettem az smb2 használatát.
Samba oldalon is olvasom, ha w10-et használunk maradjunk smb1-en (2017-es dátummal)

Nálatok sikerült kitalálni vmit ez ügyben?

A roaming profilt most dobtam ki, brutálisan leterheli a hálózatot (főként a felhasználók trehánysága miatt).
De ha erre is lenne okos megoldás...

----
Vágási Ferenc IT-szakember :)
----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

Az NT4 domain login használatához kell az SMB1. Anélkül még SMB3 is van Win10-el.

Igaz, valóban NT4-est használok, de ha a samba configban "min protocol SMB2"-t írok, a w7 és w8-al be tudok lépni, w10-el nem. (tallózni lehet w10-el a szerveren -autentikáció után-, csak belépni nem enged a tartományba)

Egyébként szeretném leváltani AD-re az NT4-et, és mivel felgyülemlettek az egyéb nem rendszergazdai melók a suliban szeretném a legfájdalommentesebben megoldni.
Van pár leírás róla, de rá tudnál bökni 1-re, amit esetleg követtél vagy biztos vagy benne, hogy nem tartalmaz annyi buktató?

Szerk.: A hivatalos leírást választom majd holnap, de nálam nem ldap, hanem tdb van és nem magam fordítgattam, hanem csomagból van fent az old verzió.. kíváncsi leszek így milyen meglepetéseket tartogat majd.. :)

----
Vágási Ferenc IT-szakember :)
----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

SUB

Én is hagyományos Samba PDC-t váltottam le, ami még Debian 7-en futott. Mivel a Samba 4-es verzió megjelenése óta aránylag sok mindent változtatnak az egyes 4.x verziók megjelenésekor, elég nehéz követni, és naprakész leírást találni. Nem tudnék egyet sem javasolni, hogy azt kövesd a telepítés során. Nekem túl sok időm nem volt tesztelésre az éles telepítés előtt, néhány leírást elolvastam, telepítettem virtuális gépbe, azon teszteltem egy kicsit, amikor már be tudtam léptetni gépet a tartományba és be tudtam lépni egy felhasználóval ezen a gépen, akkor belevágtam a telepítésbe (tiszta telepítés Debian 9-en). Én nem mertem volna egy Samba NT -> AD upgradebe belevágni, főleg úgy, hogy LDAP-ot használtam.

Nos, lassan, de halad.
Már csak 1 problémát kell legyőznöm, és ígérem feldobok ide egy működő step-by-step leírást, ahogy szoktam :)

----
Vágási Ferenc IT-szakember :)
----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

Belefutottál-e ilyenbe:

Csatlakozna win a tartományhoz, be is kéri a felhasználónevet, jelszót, ha rosszat adok, közli, hogy nem megfelelő (ezzel csak a szerver-kliens kommunikációt ellenőriztem), de ha jó, akkor "A tartományhoz való csatlakozás közben a következő hiba történt: Belső hiba történt" de a windows naplóban semmi.
A sambában beállítottam a log level = 3-at, és csak annyit látok, hogy:
"No preauth found, returning PREAUTH-REQUIRED bla-bla NT_STATUS_CONNECTION_DISCONNECTED"

Lenne tipped?

----
Vágási Ferenc IT-szakember :)
----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

Állítsd a log level-t magasabbra.
Biztosan jó a jelszó? Nem tudom, hogy Samba NT -> AD upgrade során van-e lehetőség megadni az Administrator felhasználó jelszavát, de normál telepítéskor a provision során, ha nem adom meg direktbe, akkor automatikusan generál egyet. Vagy utána megváltoztattad az Administrator felhasználó jelszavát?

Azt mondják, hogy egy AD-ben a hibák 90%-át DNS hiba okozza. A PC-n, amit tartományba szeretnél léptetni, az AD az elsődleges DNS szerver?

A szerveren futtatva a következő parancsokat mit kapsz (értelmes válasz vagy hibaüzenet):

hostname --fqdn
dnsdomainname
dig @127.0.0.1 DNS-tartománynév
host -t SRV _kerberos._tcp.DNS-tartománynév
host -t SRV _ldap._tcp.DNS-tartománynév
host -t A [az AD FQDN-jét írd ide]
samba-tool domain info AD_IP_CÍME
smbclient -L 127.0.0.1 -U Administrator

A /etc/hosts fájl tartalma megfelelő?
Az AD-n a /etc/resolv.conf fájlban a nameserver 127.0.0.1 kell legyen az első nameserver-es opció.
Jól (szinkronban) jár az AD és a kliens PC órája?

5-re állítottam.
Abból gondolom, hogy jó, mert másképpen viselkedik a kliens jónak gondolt jelszóval, mint a szándékosan elgépelttel.
Voltak DNS hibáim, de sikerült kitisztázni őket (ekkor még hálás volt a win, mert adott hibaüzenetet)
A parancsok értelmes választ adnak, csak az utolsó ad hibát: session setup failed: NT_STATUS_INTERNAL_ERROR
A hostot és a resolv.conf-ot a doksinak megfelelően egészítettem ki.

----
Vágási Ferenc IT-szakember :)
----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

Ha még tudod módosítani a bejegyzést, akkor a log részletet inkább tedd pastebin.com-ra.
Nézd meg, hogy a Domain Admins csoportnak mely felhasználók a tagjai.

samba-tool group listmembers "Domain Admins"

Én azt csinálnám, hogy létrehoznék egy új felhasználót, pl adadmin, és hozzáadnám a Domain Admins csoporthoz, és azzal a felhasználóval próbálnám beléptetni a PC-t az AD-be.

samba-tool user create adadmin jelszó ...
samba-tool group addmembers "Domain Admins" adadmin

Na, 99,9%-ig kész :)

Még egyszer áttúrtam mindent, volt egy kis typo, és tanácsodra felvettem egy admint.
Új gépeket be tudok léptetni, és ami a legjobb, a régiket nem kell újra beléptetni, mondhatni kulcsrakész a rendszer a migráció után.

Azért valami aggaszt, smbd, nmbd státusz rendben, de a samba-ad-dc státusza ezt produkálja, a "samba: using 'standard' process model"-től lefelé minden piros és a winbind pedig ezt.

Így azért nem merem élesben használni... vagy? :)

----
Vágási Ferenc IT-szakember :)
----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

Idézet:
Így azért nem merem élesben használni... vagy? :)

Az smbd, nmbd és a winbind státusza legyen disabled, masked, stopped, killed, üsse el a hármas metró.

A samba-ad-dc service (a samba nevű daemon) szépen indítgatja magának a többi daemont, ahogy szükséges (a process listában látod is az első status üzin)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Így gondoltad:
systemctl disable winbind smbd nmbd
Kaptam sok-sok warningot: ('winbind' overrides LSB defaults (2 3 4 5), ugyanúgy elindulnak bootkor és a problémát nem oldotta meg :(
update-rc.d smbd disable szintén nem.

----
Vágási Ferenc IT-szakember :)
----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

systemctl mask winbind smbd nmbd

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Így már tényleg nem indulnak, de a fenti samba: using 'standard' process model... továbbra is ott van

----
Vágási Ferenc IT-szakember :)
----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

Az ott is fog maradni, azt simán kiírja a stderr-re (ahonnan a journald összeszedi), nem gond.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

rendben, köszi

most látom, elvesztek a nyomtatóim, és a felhasználók Z meghajtói.. lesz mit olvasgatnom a hétvégén :)

----
Vágási Ferenc IT-szakember :)
----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

Addig rendben van, hogy ne használjuk a régi [homes] megosztást "The [homes] feature is not supported running on a Samba Active Directory (AD) domain controller (DC).", de itt azt mondja, Create a new share. For details, see Setting up a Share Using Windows ACLs.
Akkor a /home sem használható tárolásra függetlenül attól, hogy a smb.conf-ban hogyan publikáljuk????

----
Vágási Ferenc IT-szakember :)
----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

Használható, és írja is, hogy POSIX ACL-ekkel hogyan tudod használni (https://wiki.samba.org/index.php/User_Home_Folders#Using_POSIX_ACLs).

(egyébként DC-n nem "illik" [értsd: az MS azt mondja, hogy ne csináld :)] a SysVol-on kívül nagyon fájlmegosztást csinálni, érdemes külön, dedikált fájlszerverre tenni. Azon meg már a "sima" smbd-t úgy állítod, ahogy csak akarod, az rendes member serverként fog viselkedni)

[disclaimer: home mappa nálam nincsen, egy profiles megosztásban van egy-két usernek super-mandatory user profilja, nagyobb váltásnál (4.1 -> 4.2 rémlik, de nem esküszöm meg rá - ahol az AD DC-be is betették a rendes winbindd daemont) előferdült, hogy új kellett lőni a jogosultságokat, mert megváltozott egy-két uid/gid a default konfiggal]

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Ezt néztem, de valami itt sem volt kerek nálam.
# chgrp -R "Domain Users" /srv/samba/users/
chown: érvénytelen csoport Domain Users

pedig a samba-tool group listmembers "Domain Users" szépen kilistázza valamennyi felhasználómat.

szerk: és szerepel a smb.conf-ban a idmap_ldb:use rfc2307 = yes
de ha ellenőrizni akarom a
ldbsearch -H /usr/local/samba/private/sam.ldb -s base -b CN=ypservers,CN=ypServ30,CN=RpcServices,CN=System,DC=samdom,DC=example,DC=com cn
akkor ldbsearch command not found, pedig fent van a ldaptor_utils ldap-utils

----
Vágási Ferenc IT-szakember :)
----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

Az nsswitch-ben szerepel a winbind?

getent group -ban látszik a Domain Users (akármilyen prefixszel) ill. id ValamelyikUser megtalálja?

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Köszönöm, szeretnélek megkérni, térjünk vissza rá jövő hétfőn (nyaralni viszem a családot)
----
Vágási Ferenc IT-szakember :)
----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

Nem szerepelt, de már ott van :)
smb.confból még hiányzott a
winbind enum users = yes
winbind enum groups = yes - volt vele pár köröm, mert lemarad az 's' :)

template homedir = /homes/%U vagy /home/%D/%U ? (mappaszerkezetileg /home/ica ezért szerintem az első)

getent group -ban nem látszik a Domain Users !!!

id -a ica
uid=1166(ica) gid=1021(icaS) csoportok=1021(icaS),1001(tanar)

a home már ott van a Z meghajtóban a /home/%U segített, de ez is ad némi figyelmeztetést.

----
Vágási Ferenc IT-szakember :)
----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

A samba-tool (szerintem) közvetlenül a Samba LDAP adatbázisát éri el, míg pl a chgrp nem. A chgrp nem látja addig a Samba AD-be felvett felhasználókat, amíg ez megfelelően nincs beállítva a Linux-on (az smb.conf-ban kell az idmap_ldb:use rfc2307 = yes, de ez nem elég).

Itt van pl egy leírás, hogyan kell a winbindet beállítani, hogy Linuxon is láthatóak legyenek a Samba AD felhasználói. De ebben a leírásban is van róla szó (hogy ez a leírás mennyire aktuális, azt nem tudom). Lehet, hogy telepítened kell a libpam-winbind libnss-winbind csomagokat.

Én ezt nem winbind-del, hanem sssd-vel (sssd-ad) oldottam meg (igaz lehet, hogy nem ezzel a legjobb, de azt leszámítva, hogy egyelőre nem listázza a "beépített" csoportokat és felhasználókat, jól működik).

Egy baj van ezekkel a leírásokkal, hogy a Samba egy adott verziójára jó, de amint kijön az újabb Samba 4.x verzió elfelejtik aktualizálni.
Korábbi verziók esetén tényleg nem lehetett használni a [homes] megosztást, de a Debian 9-es Samba 4.5.8-as verzióban igen.
Voltak olyan Samba verziók amikor pl. a valid users, invalid users opciókat sem lehetett használni, most ezeket is lehet, igaz jobb megoldás ACL-lel szabályozni.

Lehet, hogy mégis visszarakom a roaming profilt..
Milyen értékeket használsz "force create mode" és a "force directory mode"-nál?
Valahol írták, hogy 600 és 700 legyen. Az jó?

----
Vágási Ferenc IT-szakember :)
----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

A /srv/samba/profiles mappa jogosultságait a `chmod 1770 /srv/samba/profiles` paranccsal módosítottam.

A "force create mode", "force directory mode", "force group" értékeket nem használom. Egyelőre így használom:

[profiles]
comment = Users profiles
path = /srv/samba/profiles
read only = No
create mask = 0600
directory mask = 0700
browseable = No

De ettől biztosan van jobb beállítás is, lehet, hogy szükség lenne a "force create mode", "force directory mode" opciókra, mert a felhasználók profil mappája 770 joggal jön létre, továbbá a profil mappára a Samba beállít ACL-eket is.

A korábbi Samba3 esetén még az alábbiakat is használtam, de most nem:

guest ok = no
valid users = %U
profile acls = yes
csc policy = disable

Csak azért kérdem, mert w7x64, w8x64 és w10x64 tökéletesen belép, behúzza a profilt, kilépésnél meg frisssíti azt, de van w7x32 ami nem képes betölteni a profilt. Előtte pedig a többi w7-w10 x64-esel ugyanannak az NT4-es samba tartomány tagjai voltak és ott ment a roaming profilozás velük is.

Szerencse, hogy csak 6 olyan gép van...

----
Vágási Ferenc IT-szakember :)
----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

Próbáld meg, hogy kilépteted a tartományból, majd újra be.

az volt az első, de nem ment.. sebaj ráraktam a 64-est mindre, legalább homogénebb a géppark :)
és így persze megy minden rendesen.

Azért valamit itt is sikerült eltolnom, 1-2 gépnél bedugva maradt a digitális tábla, miközben telepítettem a drivert. Így persze sehogy sem ismeri fel.. Próbáltam úgy, hogy eltávolítás, uninstall reboot install csatlakoztatás, de akkor se megy.
Rég szívtam ilyennel...

----
Vágási Ferenc IT-szakember :)
----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

A winbind smbd nmbd szolgáltatások esetén mindenképpen szükség van a mask-ra, vagy elég a disabled?

Én úgy csináltam, ahogy az alábbi bejegyzésben korábban le is írtam:
https://hup.hu/node/154635#comment-2127199

A samba-ad-dc státuszából az látszik, hogy disabled, azt engedélyezni kellene, talán így:

systemctl stop samba-ad-dc
systemctl enable samba-ad-dc
systemctl start samba-ad-dc

Csak sikerült megakadnom..
The classicupdate process uses information from databases of your old PDC installation. That's why it is necessary to have them all in one directory. Copy the following databases from your old PDC installation to a new folder. We'll use /usr/local/samba.PDC/dbdir/ in this guide:
# cp -p /usr/local/samba.PDC/var/lock/gencache_notrans.tdb /usr/local/samba.PDC/dbdir/

viszont gencache_notrans.tdb nincs. Ilyenkor mi a teendő?

Prevent failure due to common user/group names
If you have any usernames that are the same as a groupname, you will have to rename one of them. Otherwise the provisioning will fail („ProvisioningError: Please remove common user/group names before upgrade.“). Also, if you have unique groups that, for whatever historical reason, share the same displayName, they will have to be edited so that all the displayNames are different.

Ha felhasználói usernévvel megegyező groupnevet találok, azt törlöm, de mi van a bind:bind ntp:ntp backup:backup root:root: daemon:daemon bin:bin sys:sys...

A csoportjukat csak töröljem (vagy nevezzem át)? Működni fognak utána az őket használó szolgáltatások rendesen?

----
Vágási Ferenc IT-szakember :)
----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

Egyelőre elkezdem átnevezni az élő felhasználók csoportjait, hátha csak 1000 GID-től felfelé figyeli az azonosságokat migrálás közben.
Remélhetőleg egyszer idetéved valaki szakértő.. :)

----
Vágási Ferenc IT-szakember :)
----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

Szerintem ez a csoportnév - felhasználónév egyezés csak a Sambas felhasználókra kellene, hogy vonatkozzon. Úgy tudom, hogy ez azért van, mert Samba AD-ben nem lehet egyező nevű csoport és felhasználó és fordítva, mivel (talán) az LDAP-ban ugyanott tárolódnak a csoport és a felhasználói bejegyzések is.

Igen, elég volt csak azokat átnevezni.
Tettem mindegyik végére egy nagy S-t, hogy könnyebb legyen majd perl-el hozzányúlni, ha kell :)

----
Vágási Ferenc IT-szakember :)
----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

Igen .V6 suffixel hozza létere a Profil mappát, ezt most teszteltem, gondolom a Win7 pedig V2-vel?!
Két Win 10-es gépet már beléptettem az AD-be, és be tudok lépni a tartományi felhasználókkal a Win 10-es gépről. Roamin profil mappa létrejön (a mappa csoportja - users).

A Roaming profilban lévő Documents, Desktop, Downloads mappákat át lehet irányítani a home könyvtárába.

Igen, vistatól win8-ig V2; w10 talán a 1607-től V6 előtte V5; NT4, 2k, xp suffix nélkül.

Az átirányítás elvileg működik, régen a 2k profilben lévő document-re és download-ra irányítottam át a .V2-ben lévőket, sőt a Desktopot is, így vista alatt is a 2k környezet volt a default, nem pedig a aeros kotvány, ami nem kicsit növelte a stabilitást és a sebességet :)
De hogy /home-ba mit tenne, azaz lehúzná-e akkor is a benne lévő dolgokat bejelentkezéskor, azt nem tudom, de ha lesz időm kipróbálom.

----
Vágási Ferenc IT-szakember :)
----
Gyűjteménybe keresek feleslegessé vált, kidobásra váró, ingyen elvihető c128, c128d, amiga600 gépeket és c+4-hez billentyűzetet.

1. A primaryComputer "opció" használható 2012_R2-es domain és functional level szinten? De mire való? Ha emelem a funnctional és domain level szintet, akkor az módosítja az AD LDAP adatbázisát (bővíti a szükséges LDAP sémákkal, opciókkal)?

6. Így csináltam, a provision előtt:

systemctl stop smbd nmbd winbind
systemctl disable smbd nmbd winbind

majd a provision után:

systemctl unmask samba-ad-dc
systemctl enable samba-ad-dc
systemctl start samba-ad-dc

3,4,(7). Azt olvastam valahol, hogy a winbind nem tud minden értéket kiolvasni az AD LDAP adatbázisából (de lehet, hogy ez korábbi verziókra volt igaz), és az id-k dinamikusan változhatnak. De ezek szerint, ha az AD-ben meg van adva az uid/gid (én megadom), akkor azokat használja, és nem generál dinamikus értékeket (ezt jó tudni)?! És köszönöm a többi winbindre vonatkozó észrevételt. Ezeket majd tesztelem virtuális gépen. A home mappák, a megosztások is azon a szerveren vannak, amelyiken a samba fut (illik, nem illik így lesz). A realmd-t nem ismerem, utánanézek.

sub

+1