samba3 + windows AD

Linux-kezdő

Sziasztok!

Egy fajlszervert szeretnek berakni egy halozatba de ugy, hogy a windows AD segitsegevel mukodjon a hozzaferes szabalyozasa.

Mar elolvastam sok leirast de nem talalok megoldast a problemamra...

Nekem ugy tunik, hogy az AD elerese jol mukodik:

#getent passwd 


...
DOMAIN+kubinyib:*:10431:10007:Kubinyi Barbara:/home/DOMAIN/kubinyib:/bin/false
DOMAIN+kovacsb:*:10429:10007:Kovács Beáta:/home/DOMAIN/kovacsb:/bin/false
DOMAIN+poker:*:10428:10007:póker:/home/DOMAIN/poker:/bin/false
DOMAIN+bohmf:*:10427:10007:Bőhm Ferenc:/home/DOMAIN/bohmf:/bin/false

#getent group 


...
DOMAIN+vpn_gestor:x:10332:DOMAIN+laczkovichb,DOMAIN+gestor
DOMAIN+storage01:x:10002:DOMAIN+zalatnaijanos

A gond az, hogy nem tudom rendesen beallitani, hogy ki ferhet
hozza egy megosztashoz.

/etc/sabma/smb.conf 


[global]
    workgroup = DOMAIN
    netbios name = STORAGE01

    oplocks = 0
    level2 oplocks = 0
    use sendfile = no

    idmap uid = 10000-20000
    idmap gid = 10000-20000
    winbind enum users = yes
    winbind enum groups = yes
    winbind separator = +

    security = ads
    encrypt passwords = yes
    realm = domain_controler
    password server = domain_controler

    map acl inherit = yes
    log file = /var/log/samba/log.%m
    log level = 5
    max log size = 10000
    nt acl support = yes
    server string = %h - File server
    socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
    dns proxy = no

[Teszt]
    printable = no
    read only = no
    create mode = 0666
    create mask = 0666
    directory mask = 0777
    comment = Teszt megosztas
    browseable = yes
    writable = yes
    guest ok = no

Azt szeretnem hogy egy tartomany beli csoport ferhessen hozza a Teszt megosztashoz...

valis users = ???

ezek egyike sem mukodik:

valid users = @group
valid users = DOMAIN+@group
valid users = @DOMAIN+group

Vagy, hogyan kell ezt csinalni? :)

A valaszokat elore is koszonom.

  • 906 megtekintés

( Oops | 2008. 01. 09., sze – 17:13 )

mi a hibajelenség, azt nem írtad...

Ha konkret falhasznalohoz kotom az elerest... 


valid users = DOMAIN+pistike

...akkor jol mukodik a hozzaferes szabalyzasa. De en nem felhasznalohoz hanem csoporthoz szeretnem kotni a hozzaferest.

Hiaba probalom valahogy a csoportot megadni (ahogy fentebb szerencsetlenkedtem :) ) sehogy nem megy ... nem jo neki a megadott user/pass.

Sajnos a samba log nekem nem mond semmit... nincs sok tapasztalatom a sambaval.

--
maszili

( wildy | 2008. 01. 09., sze – 17:24 )

RTFM. Keresgelj az ACL kornyeken, es felejtsd el egy eletre a valid users-t es tarsait.

Az en meglatasom szerint az ACL (amennyiben a fajlrendszer szintu acl-re gondolsz) azert nem relevans mert en mar a megosztas elerese eseten szeretnem elkezdeni a hozzaferes szabalyzasat. Az meg a fajlrendszer hozzaferese elott van.

De ha rosszul tudom akkor javits ki...

Termeszetesen a megosztason belul lehet az ACL szerinti hozzaferest alkalmazni. Ezt terveztem.

--
maszili

( csabyka v | 2008. 01. 09., sze – 20:00 )

Ha adsz egy emailcimet privátban, akkor leküldöm az én konfigom. Minden leírással ellentétben
elég nagy szívás volt bekonfolni. Véletlenül nem magyar windowsod (ad-d)van?
ezt probald meg:
valid users = @DOMAIN"@DOMAIN+azéncsoportom"
--
http://www.machonosit.hu Ha magyar MAC-et akarsz!

( rts | 2008. 03. 19., sze – 14:46 )

Na miutan ma vegigszoptam ugyanezt, csak mas volt a gondom picit, azert ideirom nehogy valakit megvezessen a hulyeseg:
Ja, OK. Elvileg siman DOMAIN+group, nem kell a @. <- ez hamis. Pontosan a kukac mondja meg, hogy csoportrol van szo. Ha nincs kukac, akkor juzernevet keres.

Ha nem megy ilyen egyszeru modon, akkor mas gaz van, @DOMAIN"@DOMAIN+grupp" vagy mi? hat ezt ketlem, hogy megenne, de ha igen akkor ott vmi nagyon el van kuffantva.

\o\ |o| /o/

( kohinoor | 2008. 03. 19., sze – 15:16 )

# winbind separator = +
allow trusted domains = no
winbind enum users = no
winbind enum groups = no
winbind use default domain = Yes
winbind nested groups = Yes
idmap backend = idmap_rid:DOMAIN=500-100000000
idmap uid = 500-100000000
idmap gid = 500-100000000

....

valid users = DOMAIN\user, DOMAIN\user2-office, stb...

--------------

#getent passwd user