Ru-Board.club
← Вернуться в раздел «UNIX»

» вопросы по samba + AD

Автор: hroniksan
Дата сообщения: 28.12.2009 14:52
Доброго времени суток.
Настроен файловый сервер на samba (Debian).
Авторизация из AD работает.
В конфиге шар присутствует строки valid users

Код: [otdel121]
create mask = 0755
directory mask = 0755
comment = Otdel 121
valid users = @”Администраторы домена”,@ДОМЕН\otdel121
path = /home/smb/otdel121
write list = @”Администраторы домена”,@ДОМЕН\otdel121

Автор: AnDySs1
Дата сообщения: 29.12.2009 05:58

Цитата:
[otdel121]
path = /home/smb/otdel121


Цитата:
[otdel7]
path = /home/smb/otdel121

дайте для начала другой путь
Автор: hroniksan
Дата сообщения: 29.12.2009 06:10
to AnDySs1

Цитата:

Цитата:
[otdel121]
path = /home/smb/otdel121


Цитата:
[otdel7]
path = /home/smb/otdel121

дайте для начала другой путь



Это просто ошибка копипаста
В конфиге все правильно...
Автор: AnDySs1
Дата сообщения: 29.12.2009 07:53
пользователь и пароли существуют?
wbinfo -u ?
Автор: hroniksan
Дата сообщения: 29.12.2009 08:02
Угу, все работает, пользователи авторизуются, только при попытке смены шары на ту, куда авторизованному пользователю нельзя, выдает ошибку.
Автор: tankistua
Дата сообщения: 30.12.2009 09:05

Цитата:
Вопрос 2 Возможно ли сделать так, чтобы шары через explorer были не видны, если пользователю запрещен доступ?

нет - а зачем ?
Автор: kerberosV5
Дата сообщения: 02.01.2010 14:49
Любопытно было бы узнать версии самбы и винды
Автор: hroniksan
Дата сообщения: 08.01.2010 06:16
Сорри за долгое молчание
НГ застал меня далековато...
to tankistua
жаль, что нельзя=\
А затем, что у меня более 150-ти отделов, и для каждого отдела нужно 2 шары...
Представляете теперь зачем?


to kerberosV5
Samba Version 3.2.5 на Debian 5
винда разная..например XP SP 3
Автор: tankistua
Дата сообщения: 08.01.2010 10:49

Цитата:
А затем, что у меня более 150-ти отделов, и для каждого отдела нужно 2 шары...
Представляете теперь зачем?

так а какая разница видно их или нет.
Автор: FIZIK
Дата сообщения: 10.01.2010 15:14
как выход - создать для каждого отдела группу, всех пользователей раскидать по группам, а в конфиге написать что вроде

[myotdel]
create mask = 0755
directory mask = 0755
comment = MyOtdel
path = /home/smb/%g


а в папке /home/smb/ создать папки с именами групп.
Для админов завести отдельную шару на /home/smb

[admin]
create mask = 0755
directory mask = 0755
comment = Admins
path = /home/smb
valid users = @”Администраторы домена”

в этом случае пользователю будет видны 2 шары
admin и myotdel. В первую его не пустит а зайдя во втору он попадет в шару для своего отдела..

%g - в это переменной передается первичная группа в которой состоит залогинившийся пользователь.

Автор: hroniksan
Дата сообщения: 11.01.2010 06:46
FIZIK
Это хороший выход
Как то я сам не додумался.. а уже решил делать шары простыми папками и использовать параметр hide unreadable...

Так что большое спасибо!
Автор: mdma81
Дата сообщения: 18.01.2010 14:58
Имеется общий ресурс на Samba 3.2.5

Никак не могу разобраться - как сделать следующее:все пользователи могут создавать
файлы и каталоги; удалять или изменять могут только владельцы файла (каталога).

Проблема - если пользователь создал каталог, то никто другой в него ничего записать
не может. Пробовал по всякому играться с правами, использовать t-bit.. получал даже
такие ситуации, когда пользователь не может изменить чужой файл, но может удалить
его..

[Doc]
comment = Documents
read only = No
admin users = "+Domain Admins"
public = No
create mask = 1755
directory mask = 0775
path = /home/samba/XXX/Doc

Пользователи - WindowsXP SP3, авторизация через LDAP.
Автор: tankistua
Дата сообщения: 19.01.2010 22:53
[Doc]
comment = Documents
read only = No
delete readonly = yes
admin users = "@Domain Admins"
public = No
create mask = 1755
directory mask = 0777
path = /home/samba/XXX/Doc

P/S/ не забываем экспериментировать на пустой шаре и записывать все по сетке - на имеющих-ся файлах эксперименты проводить нельзя.
Автор: mdma81
Дата сообщения: 20.01.2010 08:33
Я неверно сформулировал задачу, сорри..
Самое главное, сделать так чтобы правила доступа для корневого ресурса распространялись на все вложенные вновь создаваемые каталоги (наследование).
При вышеуказанном конфиге юзер не может удалить чужой каталог, но может удалить/изменить чужие файлы в нём...
Пытался по всякому, получаю интересные загогулины, вроде того что юзер не может изменить чужой файл, но может удалить его.. или при создании файла в уже существующем чужом каталоге создаваемый файл сразу получает права владельца каталога и не может быть удалён тем кто его действительно создал..

Сейчас пытаюсь применять параметры типа

inherit permissions = yes
inherit acls = yes
inherit owner = yes

но пока без особого успеха.
acl на ФС включены.

Эксперименты провожу на пустой шаре, создаю файлы по сети - уже задолбался перелогиниваться
Автор: tankistua
Дата сообщения: 20.01.2010 09:06

Цитата:
inherit permissions = yes
inherit acls = yes
inherit owner = yes

это все не то.


Цитата:
create mask = 0733

Автор: mdma81
Дата сообщения: 20.01.2010 12:52
Получилось, таки.

create mask 733 не подошло, т.к. нужна возможность чтения всего членами группы (в условии задачи не указал, виноват)

Рабочий конфиг:

[Doc]
path = /home/samba/XXX/Doc
read only = No
map acl inherit = no
public = no
create mode = 41744
directory mode = 41770
admin users = "@Domain Admins"
force create mode = 41744
force directory mode = 41770

Помогло вот это


Цитата:
    Цитата:
inherit permissions = yes
inherit acls = yes
inherit owner = yes

это все не то.


map acl inherit = no т.к. в секции [global] указано обратное.

Забил на виндовые пермишены и использовал sticky-bit + параметры force create mode и force directory mode...
Причём простое указание прав в виде 1744 не прокатывало

Страницы: 1

Предыдущая тема: Active Directory

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.