Sziasztok,
a cimben szereplo temakorben lenne kerdesem/keresem. Az az igazsag, hogy nem all ossze a kep, lehet hogy egy jo kommentel, minden leesik es tudni fogok egybol mindent. Sok doksit elolvastam, oda-vissza turtam a google-t a temaban, de a hupon mindig jok a valaszok :)
Szoval samba share-t (centos 5.5-on futo 3.3.8-0.52.el5_5 verzioju samba) szeretnek elerni AD userekkel.
Kerberos authentikacio rendben (krb5.conf plusz kinit teszt OK), samba-s szerver terminaljabol AD-t elerem ,pl wbinfo parancsok lefutnak, latom az AD usereket. smbclient parancsal szinten ugy tunik rendben az AD-val a kapcsolat, de pl a net ads join -U usernev teszt-el nem enged be.
A smb.conf-on ennek alapjan van beallitva:
[global]
workgroup = domainunk
password server = AD szerverunk
realm = FQ DOMAINUNK
security = ads
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
template shell = /bin/false
winbind use default domain = true
winbind enum users = yes
winbind enum groups = yes
obey pam restrictions = yes
allow trusted domains = no
winbind offline logon = true
[homes]
comment = Home Directories
browseable = no
writable = yes
valid users = %S
create mode = 0664
directory mode = 0775
valid users = MYDOMAIN\%S
nt acl support = yes
Sima samba share-t sokat hasznaltam, smbpasswd -a val user letrhozasa, amivel szepen elerem a kivant share-m. De most AD-ban levo userekkel szeretnem elerni. Nem vilagos, hogy acl-el hogyan is korlatozom ill engedelyezem a hozzafereseket. Jelenleg a (valid users = MYDOMAIN\%S) windwos-bol a szerverre nevre hivatkozva, latom az adott userem konytvarat (amivel win-be vagyok bejelentkezve) de nem ferek hozza. Hogyan tovabb?
Szoval ha valaki tapasztalt szolna par szot hozzam, megkoszonnem azt :)
udv
jack
Hozzászólások
Talán hasznos lesz, bár sosem próbáltam:
http://sugo.ubuntu.hu/10.04/html/serverguide/hu/samba-ad-integration.ht…
koszi, de nekem pont forditva kene. vagyis a samba share-t akarom elerni win-rol, AD userekkel.
Nagyjabol mar meg is van, csak az AD usereker jogosultsagait nem tudom hogy allitgassam..
"A Samba másik felhasználási módja a meglévő Windows hálózatba való integrálás. Egy Active Directory tartomány részeként a Samba fájlkiszolgálást és nyomtatószolgáltatásokat biztosíthat az AD-felhasználóknak."
Ezzel még megtodom:
http://wiki.samba.org/index.php/Samba_%26_Active_Directory
Visszaírnál, hogy működik-e a dolog?
igen ezeket en is csinaltam, most ugy nez ki attorest ertem el, meg tesztelem.
ha minden ok irok :)
koszi
Jelentem mukodosre birtam. Igazabol en bonyolitottam tul, meg a configokat csinaltam, mikor is azon paraztam, hogy fogom a jogosoultsagokat osztogatni. A megfejtes sima chown/chgrp es a jo oreg chmod, de acl-el persze lehet bonyolitani.
Persze ez egyertlemu igy, de nekem az nem esett le eleinte, ha egyszer mar authentikalva vagyok az AD-ba az ottani usereket is siman hasznalhatom, a linux szerveren. Szoval ennyi. Ha valaki elakadt epp, szoljon most rendesen korbe jartam a temat :)
Én a valid user szakaszra lennék kíváncsi. ( nem véletlenül próbáltam segíteni ). Hogy osztasz ki AD-s csoportot, vagy usert?
Siman chgrp chown chmod mukodik minden, ha finom hangolni akarod akkor pedig setfacl setattr.
Pl. windows-bol, megnyitod a \\samba\share1 megosztast, - ha AD userkent vagy domainben bejelentkezve, - es letrehozol egy file-t, akkor defaultkent az AD user neveddel es a "Domain User" csoporttal hozza letre, 755 -os jogokkal.
A samba sever terminaljabol pedig, ezt rootkent siman valtoztatgathatod ezt.
peldaul: chgrp "group AD admin" /samba/share1, chown "AD username" /samba/share1,
ha pedig pluszban hozza akarsz adni valakit, aki nincs benne a groupban akkor setfacl -m u:ujusernev:rxw /samba/share1
picit jatszadozz vele, probalgasd, hamar raerezz az ember, es tenyleg rugalmas!