Хочешь Samba(PDC) + Ldap? Без проблем...

[spy]

Скажите, а разве пользователи обычно не могут заходить на эту шару? Помоему, это странно )))

Ну они как минимум должны его читать.
Попробуй сравнить свой конфиг с моим

Код: Выделить всё

[global]

   # Имя домена
   workgroup = kinomax24
   

   # nebios имя машины
   netbios name = Domen

   # Описание сервера
   server string = FreeBSD

   # Тип безопасности user(необходимо для PDC)
   security = user

   # Хосты, которым разрешено обращаться к нашему серверу
   hosts allow = 192.168.124. 127.

   # Не использовать принтеры
   load printers = no

   # Лог файл самбы
   log file = /var/log/samba/log.%m

   # Максимальный размер лога
   max log size = 500

   # Использовать зашированные пароли
   encrypt passwords = yes
   
   # Администратор домена
   admin users = admin

   # Пароли храним в LDAP
   passdb backend = ldapsam:ldap://localhost/

    # Корень LDAP сервера
    ldap suffix = dc=kinomax24,dc=ru
	
    # Пользователи храняться в контейнере ou=users
    ldap user suffix = ou=users
	
    # Группы в контейнере ou=groups
    ldap group suffix = ou=groups
	
    # Контейнер для машин пользователей
    ldap machine suffix = ou=computers
	
    # Объект администратора samb'ы в LDAP
    ldap admin dn = "cn=root,dc=kinomax24,dc=ru"
	
    # Запрещаем удалять объекты
    ldap delete dn = no

    # Отключаем поддержку SSL
    ldap ssl = off

    # Сетевые параметры
    socket options = TCP_NODELAY
    
winbind enum groups = yes
winbind enum users = yes
winbind uid = 50000-60000
winbind gid = 50000-60000
winbind separator = @
winbind use default domain = yes

   # Делаем из samb'ы PDC
   local master = yes
   os level = 64
   domain master = yes
   preferred master = yes
   domain logons = yes

   # Скрипт, который запустится при входе пользователя
   logon script = proxy.vbs

   # Сетевой путь, который необходимо подключить
   logon home = \\%L\Profiles\%U\
   logon path = \\%L\Profiles\%U\
   map hidden = yes
   map system = yes
   create mask = 777	
   
   # Имя диска, на который подключать
    logon drive = Z:

    # Поддержка wins
    wins support = yes
    # Не используем dns proxy
    dns proxy = no

    # Настройка кодировки
    display charset = koi8-r
    unix charset = koi8-r
    dos charset = cp866

    # Пусть samb'а еще и время отдает
    time server = yes

    # Скрипт, для добавления машин
    add machine script = /usr/local/sbin/ldapaddmachine '%u' computers
    add user script = /usr/local/sbin/ldapadduser '%u' people
    add group script = /usr/local/sbin/ldapaddgroup '%g'
    add user to group script = /usr/local/sbin/ldapaddusertogroup '%u' '%g'
    delete user script = /usr/local/sbin/ldapdeleteuser '%u'
    delete group script = /usr/local/sbin/ldapdeletegroup '%g'
    delete user from group script = /usr/local/sbin/ldapdeleteuserfromgroup '%u' '%g'
    set primary group script = /usr/local/sbin/ldapsetprimarygroup '%u' '%g'
    rename user script = /usr/local/sbin/ldaprenameuser '%uold' '%unew'

# Описание расшаренных директорий
[homes]
   comment = Home Directories
   browseable = no
   writable = yes
   
[netlogon]
comment = Network Logon Service
path = /usr/local/etc/samba/netlogon
guest ok = yes
writable = yes
share modes = no
browseable = no
write list = @admins



[Profiles]
    create mode = 0600
    directory mode = 0700
    path = /home
    browseable = no
    guest ok = yes
 
[data]
    comment =  Forall
    path = /usr/data
    create mask = 0777
    guest ok = Yes

[base1c]
	writeable = yes
	path = /usr/base1c
	write list = @admins
	comment = Buhgalter's of files
	valid users = @admins
	create mode = 0660
	directory mode = 0770

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[luchinskym]

Нет, к сожалению ничего не помогает... Весь день убил на перебирание конфига самбы и переподстановку параметров - все безрезультатно. Буду продолжать поиски...

[mad-98]

А у меня проблемка с файлом ntconfig.pol другого порядка: файл читается, политики применяются, но частично: винда применяет политику компьютера по умолчанию и политику пользователя по умолчанию. А политики групп пользователей игнорирует. Как сопоставить политики групп собственно группам пользователей LDAP?

[mad-98]

А, все, решил сам. :)

[Dron]

так отписал-бы в чем затык был, мож кто-то и ненаступит на эти грабли

[spy]

Да да очень интересный вопрос.

[spy]

Возможно ли сделать так чтобы профиль все таки подключался с сервера, а не закачивался на рабочую станцию?

[spy]

Решение:

Код: Выделить всё

[global]
domain logons = yes
logon home = \\%N\%U
logon drive = h:
logon path = \\%N\%U\profile

Таким образом каждый доменный юзер получает в свое распоряжение диск H:, который есть на самом деле его домашний каталог (/home/user). На H: должны быть следующие каталоги:

profile - здесь хранится профиль
Documents - "Мои документы"
Desktop - "Рабочий стол"

Названия могут быть и другие, главное, чтобы у всех юзеров одинаковые. Можно также завести разные каталоги с профилями для разных клиентских ОСей - для моей сети это не актуально, т. к. все доменные клиенты на W2k.
Такая структура каталогов забивается в скелет (/etc/skel) и автоматически создается при заведении нового юзера.
На стороне сервера этого достаточно.

На стороне виндовских клиентов проще всего поступить так:
1. На виндах запускаем редактор реестра regedt32. Переходим в HKEY_USERS, дальше Меню/Реестр/Загрузить куст C:\Documents and Settings\Default User\ntuser.dat. Тем самым загрузим для редактирования ветвь реестра HKCU, которая создается для новых юзеров.
2. Внутри этого "куста" переходим к Software/Microsoft/Windows/CurrentVersion/Explorer/User Shell Folders. В этом разделе меняем значения параметров Desktop, Personal и My Pictures на H:\Desktop, H:\Documents и H:\Documents\Мои рисунки соответственно.
3. Внутри этого же "куста" переходим к Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders и удаляем там все параметры. Не знаю, зачем они вообще здесь нужны, т. к. каждый раз создаются автоматом, причем создаются копии тех же параметров из User Shell Folders.
4. Выгружаем куст (важно! - сам не выгрузится). Всё - теперь новые пользователи получат "Рабочий стол" и "Мои документы", лежащие на сервере.
5. То же самое делаем для каждого уже существующего профиля. Если юзеров много, то процесс этот долгий и нудный, как его автоматизировать - не знаю.
6. Отредактированный файл C:\Documents and Settings\Default User\ntuser.dat сохраните где-нибудь и копируйте на все клиентские машины, чтобы не проделывать ту же работу заново.
В принципе этого достаточно. Я такую схему обкатал и внедрил полгода назад.
Инфа взята от сюда http://www.opennet.ru/openforum/vsluhforumID14/746.html
От себя добавлю что 5 пункт легко решается с помощью групповой политики
Шаблон политики во вложении.

[spy]

Заметил очень странный весчь, после того как вогнал тачку в домен.
Все файлы которые я удаляю на Виндовс клиенте не попадают в корзину, а сразу куда то девнулятся.
Подскажите что сделать тобы файлы попадали в корзину?

[Alex Keda]

в какую

[spy]

Сорри. В виндовую корзину. В ту которая у пользователя на рабочем столе.

[Alex Keda]

и не будет

[spy]

Такого не может быть должно быть решение...

[Alex Keda]

самба умеет свою корзину
=======
а на винде - что с сети в корзину чтоли летит?

[spy]

1. Хорошо.. Что тогда вы можете предложить? кроме теневого копирования... потомучто если юзер чтото грохнет их мало будет волновать почему из сетевой папки файлы не попадают в корзину
2. И я так понимаю одним из решений будет использования перемещаемых профилей а не так как у меня описано выше про подключаемы десктоп и мои документы. Но тогда юзер повешается потомучто у некоторых моих узеров гигабайтные рабочие столы и они должны иметь право на это, т.е. квотирование тут не поможет.

[Alex Keda]

если юзер дебил - тут ничего не поможет.
помоему уже давно любой идиот знает, что удаление по сети мимо корзины идёт.
=========
предложить могу бэкапиться.
впрочем, эта мера в любом случае обязательна, если документы реально нужны

[spy]

Код: Выделить всё

Мусорная корзина 
С самого начала создания файлового сервера мне (скажу честно, не мне а больше всего десяткам "очкастых тетенек" - любителей хранить самое ценное в мегабайтных корзинах ) нехватало именно этого - мусорной сетевой корзины. Сначало я не задавался этим вопросом: в виндовсе нет, значит и в самбе тоже нет и написал скрипт по архивации /home. Но каково было мое удивление когда изучая материалы по examples/LDAP и мимолетом осматривая остальные каталоги - увидел знакомое слово recycle. 
Вся ниже следующая информация взята из examples/VFS/recycle/README 
- конфигурируем самбу source/configure 
- конфигурируем VFS examples/VFS/configure 
- компилируем cd examples/VFS; make 
Необходимый нам модуль recycle.so собран в каталоге recycle. 

Настройка сводится к добавлению ресурсу следующих строк: 
vfs object /usr/share/samba-2.2.6/recycle.so 
vfs options /etc/samba/recycle.conf 

Пример recycle.conf: 

# Название recycle bin относительно ресурса 
name = .recycle/%U 

# максимальный размер файла (0 без проверки) 
maxsize = 0 

# KEEP_DIRECTORIES = сохранить иерархию директорий 
# VERSIONS создавать копии идентичных файлов 
# TOUCH = touch access date of files moved into the recycle bin 
mode KEEP_DIRECTORIES|VERSIONS|TOUCH 

# пропускать файлы: 
exclude = *.tmp|*.temp|*.o|*.obj|~$* 

# пропускать папки: 
excludedir = /tmp|/temp|/cache 

# Add file extensions of files where no versioning is wanted (i.e. copy # 1...) 
# only valid when mode=VERSIONS is set 
noversions = *.doc|*.xls|*.ppt

А что Вы думаете по этому поводу?
К сожалению пока не могу проверить, т.к. сервак пока не могу перезагружать... Если есть возможность и желание проверте...

[Alex Keda]

http://www.lissyara.su/?id=1791
када ж вы по сайту поиск осилите?

[spy]

http://www.lissyara.su/?id=1791
када ж вы по сайту поиск осилите?

[spy]

а где можно прочитать расшифровку символов %S, %U др. которые используются в никсовых конфигах?

[Alex Keda]

а где можно прочитать расшифровку символов %S, %U др. которые используются в никсовых конфигах?

в мане

[spy]

а где можно прочитать расшифровку символов %S, %U др. которые используются в никсовых конфигах?

в мане

Я конечно понимаю, что краткость сестра таланта. Но из-за отсутствия таланта прошу указать в мане чего?

[Alex Keda]

того конфига к которому ищешь.
везде свои

[spy]

спасибо.
вот я что я искал для smb.conf

Код: Выделить всё

%S = the name of the current service, if any. 

%P = the root directory of the current service, if any. 

%u = user name of the current service, if any. 

%g = primary group name of %u. 

%U = session user name (the user name that the client wanted, not necessarily the same as the one they got). 

%G = primary group name of %U. 

%H = the home directory of the user given by %u. 

%v = the Samba version. 

%h = the internet hostname that Samba is running on. 

%m = the NetBIOS name of the client machine (very useful). 

%L = the NetBIOS name of the server. This allows you to change your config based on what the client calls you. Your server can have a "dual personality". 

%M = the internet name of the client machine. 

%N = the name of your NIS home directory server. This is obtained from your NIS auto.map entry. If you have not compiled Samba with the --with-automount option then this value will be the same as %L. 

%p = the path of the service's home directory, obtained from your NIS auto.map entry. The NIS auto.map entry is split up as "%N:%p". 

%R = the selected protocol level after protocol negotiation. It can be one of CORE, COREPLUS, LANMAN1, LANMAN2 or NT1. 

%d = The process id of the current server process. 

%a = the architecture of the remote machine. Only some are recognized, and those may not be 100% reliable. It currently recognizes Samba, WfWg, WinNT and Win95. Anything else will be known as "UNKNOWN". If it gets it wrong then sending a level 3 log to samba-bugs@samba.org should allow it to be fixed. 

%I = The IP address of the client machine. 

%T = the current date and time.