Файл сервер без AD

[ZindigaR]

Есть у нас файловый сервак Netware 3.12, но пришло время его заменить.
Все компы в организации раскиданы по группам, домен живет своей жизнью и на нем 10 юзеров. Пользователей руками завести не проблема, коих всего 66. Сейчас есть папка ASU в которой лежат производственные задачи, запускаемые непосредственно с шары. Около 80 папок. Каждый пользователь имеет доступ в среднем к 7-20 папкам (чтение, зменение фалов, создание файлов, удалять ничего не могут), отдел АСУ ко всем папкам с правами админа.
Во всех статья рассматривается Samba + AD. Что из самбы надо ставить, чтобы использовать авторизацию на сервере FreeBSD

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[densan]

Случайно не Сбербанк? 6 лет назад работал в Сбере, так там была такая же связка, даже названия каталогов такие. Посмотри статью например эту http://www.lissyara.su/articles/freebsd ... ba+nt_acl/

[m0ps]

Случайно не Сбербанк? 6 лет назад работал в Сбере, так там была такая же связка, даже названия каталогов такие.

папка ASU на файлсервере под нетварей есть в каждом втором банке

[ZindigaR]

У нас завод, совсем не сбер.
http://www.lissyara.su/articles/freebsd ... ba+nt_acl/
Эту статью я полностью перечитал, как и старую.
Там просто куча для меня лишнего. FreeBSD 8.1 я поставил, ACL на ресурс /ASU добавил. Теперь не могу сделать так, чтобы логин/пароль виндоуса использовался для авторизации. Вроде и пользователя заводил ... но вот только через Webmin я его завел. При доступе на ресурс выкидывает окно введите логин. До этого пробовал ставить FreeNAS, там все работало. Что мне из комплекта самбы надо ставить, чтобы работать без AD и заводить пользователей на сервере BSD. Пользователей заводить надо только через smbpasswd? Надо еще что-нибудь кроме самбы добавлять чтобы можно было от винды авторизовываться на ресурсе FreeBSD?
И еще ни как не могу понять как права раздавать если использовать только rwx, может и не надо ACL. Есть, например 10 пользователей и 10 папок. Все юзеры имеют доступ чтение, выполнение,запись, но не удаление.
Юзер 1 к папкам 100, 200, 300, 400.
Юзер 2 к папкам 100, 200, 500, 600, 700.
Юзер 3 к папкам 100, 600, 800.
Юзер 4 к папкам 500, 600, 700, 800, 900.
и т.д. аналогично.
Как такое организовать?

[snorlov]

Я честно говоря вас не понимаю, вроде бы из первого поста у вас есть микрософтовский домен,

домен живет своей жизнью и на нем 10 юзеров.

ну так используйте его как аутенфикатор, заводите в нем своих пользователей и группы, введите туда самбу, как член домена, заводится примерно также, ну а самба, как член домена будет через winbind их пускать. Будет единая система... В крайнем случае подымите на самбе свой домен... Кстати, а чем вас FreeNAS не устроил...

[ZindigaR]

Я честно говоря вас не понимаю, вроде бы из первого поста у вас есть микрософтовский домен,

домен живет своей жизнью и на нем 10 юзеров.

ну так используйте его как аутенфикатор, заводите в нем своих пользователей и группы, введите туда самбу, как член домена, заводится примерно также, ну а самба, как член домена будет через winbind их пускать. Будет единая система... В крайнем случае подымите на самбе свой домен... Кстати, а чем вас FreeNAS не устроил...

Не хотелось бы использовать сервер с AD для этих целей. А без доменов можно ли как-то?
С FreeNAS не понятно как права раздавать

Все юзеры имеют доступ чтение, выполнение,запись, но не удаление.
Админ имеет доступ ко всем папкам со всеми возможными правами
Юзер 1 к папкам 100, 200, 300, 400.
Юзер 2 к папкам 100, 200, 500, 600, 700.
Юзер 3 к папкам 100, 600, 800.
Юзер 4 к папкам 500, 600, 700, 800, 900.
и т.д. аналогично.
Как такое организовать?

Не понятно как права раздавать в этом случае. На netware было проще: выбрал юзера и добавил ему права на нужную папку, а на UNIX как такое делать? Вот скажут дать юзеру 3 доступ к папке 500 и 700, как я буду добавлять?

[snorlov]

Я честно говоря вас не понимаю, вроде бы из первого поста у вас есть микрософтовский домен,

домен живет своей жизнью и на нем 10 юзеров.

ну так используйте его как аутенфикатор, заводите в нем своих пользователей и группы, введите туда самбу, как член домена, заводится примерно также, ну а самба, как член домена будет через winbind их пускать. Будет единая система... В крайнем случае подымите на самбе свой домен...

Не хотелось бы использовать сервер с AD для этих целей. А без доменов можно ли как-то?

Я думаю, что станции у вас виндовые, уходите вы с NW 3.12, честно говоря долго же вы его обслуживали..., если стоял бы Nw 4.X или выше можно было бы о чем то думать, а так вам прямая дорога в домен NT, да и админить все это хозяйство будет легче. Не хотите использовать то, что у вас имеется, ну так поднимите домен на самой самбе.
У меня такое ощущение, что мы о разных вещах говорим... Для доступа как вы хотите, вам в любом случае нужен аутенфикатор, в вашем текущем случае его роль испольняет NW 3.12, на чем вы его сделаете, вам решать, в качестве back-end самба допускает разные системы. Я предлагаю вам самый простой выход, если у вас есть какие-то дополнительные условия, то огласите их. Если существующий домен обслуживает другой человек и вы боитесь, что 2-х человек держать не будут, то это одно, если ваш контроллер домена обслуживает бухгалтерию и вы боитесь, что дополнительная нагрузка на него приведет к падению производительности, то это другое...

[snorlov]

Не понятно как права раздавать в этом случае. На netware было проще: выбрал юзера и добавил ему права на нужную папку, а на UNIX как такое делать? Вот скажут дать юзеру 3 доступ к папке 500 и 700, как я буду добавлять?

Включаете ACL на том и утилитами setfacl/getfacl даете/убираете доступ пользователям/группам, тоже самое делает и настроенная самба, только на ваших станциях будет стоять клиент для сетей микрософт, а не клиент для сетей нетвари...

[ZindigaR]

Я думаю, что станции у вас виндовые, уходите вы с NW 3.12, честно говоря долго же вы его обслуживали..., если стоял бы Nw 4.X или выше можно было бы о чем то думать, а так вам прямая дорога в домен NT, да и админить все это хозяйство будет легче. Не хотите использовать то, что у вас имеется, ну так поднимите домен на самой самбе.
У меня такое ощущение, что мы о разных вещах говорим... Для доступа как вы хотите, вам в любом случае нужен аутенфикатор, в вашем текущем случае его роль испольняет NW 3.12, на чем вы его сделаете, вам решать, в качестве back-end самба допускает разные системы. Я предлагаю вам самый простой выход, если у вас есть какие-то дополнительные условия, то огласите их. Если существующий домен обслуживает другой человек и вы боитесь, что 2-х человек держать не будут, то это одно, если ваш контроллер домена обслуживает бухгалтерию и вы боитесь, что дополнительная нагрузка на него приведет к падению производительности, то это другое...

Nw 3.12 и дальше бы продолжала работать как и предыдущие 7 лет, но только вот железо менять пора, а драйверов под новое для нее нет. Домен обслуживает 1C в терминальном режиме и продукты Ascona в качестве сервера приложений. Больше его не стоит нагружать.

[snorlov]

Nw 3.12 и дальше бы продолжала работать как и предыдущие 7 лет, но только вот железо менять пора, а драйверов под новое для нее нет. Домен обслуживает 1C в терминальном режиме и продукты Ascona в качестве сервера приложений. Больше его не стоит нагружать.

Если NW и NT-вый сервак(домен) никак не связаны, то поднимайте домен на самбе... Если связаны, то опишите хоть как...

[ZindigaR]

Nw 3.12 и дальше бы продолжала работать как и предыдущие 7 лет, но только вот железо менять пора, а драйверов под новое для нее нет. Домен обслуживает 1C в терминальном режиме и продукты Ascona в качестве сервера приложений. Больше его не стоит нагружать.

Если NW и NT-вый сервак(домен) никак не связаны, то поднимайте домен на самбе... Если связаны, то опишите хоть как...

Никак не связаны. На nw были заведены свои юзеры без объединения их в группы и жили отдельной от всех доменов жизнью. Авторизация шла за счет встроенного в микрософт NW клиента. Домен обязательно на самбе поднимать, разве она не может выступать как обычная юзерская машинка с расшаренной папкой?

[snorlov]

Nw 3.12 и дальше бы продолжала работать как и предыдущие 7 лет, но только вот железо менять пора, а драйверов под новое для нее нет. Домен обслуживает 1C в терминальном режиме и продукты Ascona в качестве сервера приложений. Больше его не стоит нагружать.

Если NW и NT-вый сервак(домен) никак не связаны, то поднимайте домен на самбе... Если связаны, то опишите хоть как...

Никак не связаны. На nw были заведены свои юзеры без объединения их в группы и жили отдельной от всех доменов жизнью. Авторизация шла за счет встроенного в микрософт NW клиента. Домен обязательно на самбе поднимать, разве она не может выступать как обычная юзерская машинка с расшаренной папкой?

Конечно может, вот только админить пользовательские машины, самих пользователей тебе будет гораздо легче, впрочем, если ты привык к беганью по рабочим станциям, никогда не использовал политики внутри домена, то... В любом случае выбор за тобой, я, к примеру, уже при наличии 5-ти компьютеров ставлю домен, легче поддерживать все это хозяйство... Неужели нет опыта поддержки NT-вого домена...

[ZindigaR]

Конечно может, вот только админить пользовательские машины, самих пользователей тебе будет гораздо легче, впрочем, если ты привык к беганью по рабочим станциям, никогда не использовал политики внутри домена, то... В любом случае выбор за тобой, я, к примеру, уже при наличии 5-ти компьютеров ставлю домен, легче поддерживать все это хозяйство... Неужели нет опыта поддержки NT-вого домена...

Есть опыт с предыдущей работы. Особенно интересно было когда домен подох аппаратно, восстановили из образа 4-х месячной давности и он отказался принять пользователей по причине утраты доверия... пришлось вводить их заново.
Тут у пользователей стоит только виндоус (причем у половины 98-й), ОО и добавлена шара как диск F, с которой на рабочий стол закинуты ярлыки для запуска программ.

[snorlov]

Ну так в чем проблемы...

[ZindigaR]

Ну так в чем проблемы...

Привыкли юзеры в своих группах жить, у них и так проблема с обнаружением соседних компьютеров в сети, чтобы обмениваться документами.

[snorlov]

Вот я и говорю, что все такие проблемы уйдут, единственный минус, это при просмотре у тебя все компьютеры видется будут...

[snorlov]

тестовую сетку создай, надо то всего 3-и компьютера, один под сервер, а 2-а других под станции...