Freebsd + Samba + AD + ACL

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
sinir
проходил мимо

Freebsd + Samba + AD + ACL

Непрочитанное сообщение sinir » 2012-08-17 0:06:33

Начну с того что я уже собирал такую вещь как файловый сервак на фряхе + АД. :oops:

Но при сборке нового файлового сервера на фре 8.3 + самба 3.6 + heimdal, почему то самба не хочет работать с ACL расшаренных папок. Такое ощущение что действуют права по chmod, т.е. на шару могут заходить кто хочешь и делать с права что хочешь. Все доступы по безопасности которые я проставляю через проводник - не работают. Какие только не пробовал комбинации конфигов.

tunefs -a enable делал после umount - шары не на основном разделе. поддержка ufs_acl я так понимаю включена в generic.

Никто не сталкивался? Народ, маюсь уже 3 дня. Если есть конфиги под фряху 8.3 буду рад.
Последний раз редактировалось f_andrey 2012-08-17 0:21:04, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения. приводите полную диагностику, больше логов больше вероятности ответа, а не флуда

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

sinir
проходил мимо

Re: Freebsd + Samba + AD + ACL

Непрочитанное сообщение sinir » 2012-08-17 0:09:49

а забыл добавить, так мысли вслух - до этого думал для разнообразия запилить всё это на ubunte, но у меня была проблема с назначением доступа - при назначении прав на изменение - устанавливался полный доступ.

sins
проходил мимо
Сообщения: 8
Зарегистрирован: 2011-06-10 4:58:59

Re: Freebsd + Samba + AD + ACL

Непрочитанное сообщение sins » 2012-08-17 6:53:20

Решил не торопясь всё сделать заново.
На фряху 8.3 для контакта с win 2003 Rus server накатил samba 3.6 c таким конфигом:
smb.conf

Код: Выделить всё

[global]
        dos charset = cp866
        unix charset = koi8-r
        display charset = koi8-r
        workgroup = MYDOMAIN
        realm = MYDOMAIN.MY
        server string = File server
        security = ADS
        log file = /var/log/samba/log.%m
        max log size = 100
        socket options = SO_RCVBUF=8192 SO_SNDBUF=8192
        load printers = No
        local master = No
        dns proxy = No
        idmap config * : backend = tdb
        inherit acls = Yes
        hosts allow = 192.168.0., 127.
        map acl inherit = Yes

[share]
        path = /share/test
        admin users = MYDOMAIN\sin
        write list = @MYDOMAIN\buh
        read only = No
        inherit permissions = Yes
        inherit owner = Yes

И всё больше ничего не накатывал.
Попасть на шару могу, в домен ввел.
tunesfs -a enable - делал (/dev/ad10s2e on /share/test (ufs, local, soft-updates, acls))
nsswitch.conf

Код: Выделить всё

group: files winbind
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files

НО: не могу теперь редактировать права доступа из проводника - любые изменения не сохраняются.
Что еще где надо поправить?

snorlov
подполковник
Сообщения: 3846
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Freebsd + Samba + AD + ACL

Непрочитанное сообщение snorlov » 2012-08-17 8:45:32

Чтитаем про inherit acls. Не люблю я 3.6, вот 3.5 другое дело...

sins
проходил мимо
Сообщения: 8
Зарегистрирован: 2011-06-10 4:58:59

Re: Freebsd + Samba + AD + ACL

Непрочитанное сообщение sins » 2012-08-17 15:35:10

немного покопав - дело не в acl напрямую, а по ходу фря не спрашивает winbind о пользователе???
wbinfo -u-g -a user%pass всё работает
id user : пишет no such user

sins
проходил мимо
Сообщения: 8
Зарегистрирован: 2011-06-10 4:58:59

Re: Freebsd + Samba + AD + ACL

Непрочитанное сообщение sins » 2012-08-18 15:56:19

в rc.conf всё включено :)

sins
проходил мимо
Сообщения: 8
Зарегистрирован: 2011-06-10 4:58:59

Re: Freebsd + Samba + AD + ACL

Непрочитанное сообщение sins » 2012-08-19 13:24:54

Пока не сдаюсь:)
Удалил всё к ****.
Сначала. AD - win 2003. freebsd 8.3 samba 3.6
Здесь есть тэг спойлера?
Продвинулся к тому что id выдаёт доменную учетку!
Но вернулся к игнорированию acl прав доступа учетками пользователей winды, хотя они проставляются и сохраняются!

Настроил время, часовой пояс - всё ок!

/usr/ports/net/samba36
make config

Код: Выделить всё

  [X] LDAP         With LDAP support                            ¦ ¦
  [X] ADS          With Active Directory support                ¦ ¦
  [ ] CUPS         With CUPS printing support                   ¦ ¦
  [X] WINBIND      With WinBIND support                         ¦ ¦
  [X] SWAT         With SWAT WebGUI                             ¦ ¦
  [X] ACL_SUPPORT  With ACL support                             ¦ ¦
  [ ] AIO_SUPPORT  With Asyncronous IO support                  ¦ ¦
  [ ] FAM_SUPPORT  With File Alteration Monitor                 ¦ ¦
  [X] SYSLOG       With Syslog support                          ¦ ¦
  [X] QUOTAS       With Disk quota support                      ¦ ¦
  [ ] UTMP         With UTMP accounting support                 ¦ ¦
  [ ] PAM_SMBPASS  With PAM authentication vs passdb backends   ¦ ¦
  [ ] DNSUPDATE    With dynamic DNS update(require ADS)         ¦ ¦
  [ ] AVAHI        With Bonjour service discovery support       ¦ ¦
  [ ] EXP_MODULES  With experimental modules                
make install clean

krb5.conf

Код: Выделить всё

[libdefaults]
    default_realm = MYDOM.ORG
    ticket_lifetime = 24000
    clock_skew = 300
[realms]
    MYDOM.ORG = {
            kdc = pdc.mydom.org
            admin_server = pdc.mydom.org
            default_domain = mydom.org
    }
[domain_realm]
        .mydom.org = MYDOM.ORG
        mydom.org = MYDOM.ORG
smb.conf

Код: Выделить всё

[global]
        dos charset = cp866
        unix charset = koi8-r
        display charset = koi8-r
        workgroup = MYDOM
        realm = MYDOM.ORG
        server string = FS
        security = ADS
        password server = pdc.mydom.org
        log file = /var/log/samba/log.%m
        max log size = 100
        client signing = Yes
        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
        load printers = No
        local master = No
        dns proxy = No
        ldap ssl = no
        winbind cache time = 10
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        idmap config * : range = 10000-20000
        idmap config * : backend = tdb
        inherit acls = Yes
        hosts allow = 192.168.0., 127.
        map acl inherit = Yes

[test]
        path = /share/test
        admin users = "@MYDOM\Администраторы домена"
        write list = @MYDOM\test
        read only = No
        inherit permissions = Yes
        inherit owner = Yes
nsswitch.conf | grep winbind

Код: Выделить всё

group: files winbind
passwd: files winbind

pam.d/login

Код: Выделить всё

# auth
auth<--><------>sufficient<---->pam_self.so<---><------>no_warn
auth<--><------>sufficient<---->/usr/local/lib/pam_winbind.so
auth<--><------>include><------>system

# account
account><------>sufficient<---->/usr/local/lib/pam_winbind.so
account><------>requisite<----->pam_securetty.so
account><------>required<------>pam_nologin.so
account><------>include><------>system

# session
session><------>include><------>system

# password
password<------>include><------>system

net ads join - OK
wbinfo - OK
kinit - OK
id domainuser- OK

Продвинулся к тому что id выдаёт доменную учетку!
Но вернулся к игнорированию acl прав доступа учетками пользователей winды, хотя они проставляются и сохраняются!

snorlov
подполковник
Сообщения: 3846
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Freebsd + Samba + AD + ACL

Непрочитанное сообщение snorlov » 2012-10-03 15:53:38

Код: Выделить всё

nt acl support = yes 

sins
проходил мимо
Сообщения: 8
Зарегистрирован: 2011-06-10 4:58:59

Re: Freebsd + Samba + AD + ACL

Непрочитанное сообщение sins » 2012-10-03 19:08:22

Спасибо за ответ, пробовал. Пробовал даунгрэйд портов - тот же эффект. Не пробовал только даунгрэйд фряхи. Я конечно склоняюсь что у меня с руками чтото, но еклмнпрст :)

В итоге забил на всё - накатил винду - расшарил папки.

Растройство по двум пунктам:
1. Какого хююа не работает, хотя в прошлый раз всё было ок?
2. Потерял столько времени (часов 50) - хотя комп пришел с лицензией винды 64х - можно было решить всё за пару сек. Вот и думай потом...

sudo
мл. сержант
Сообщения: 132
Зарегистрирован: 2011-02-05 10:54:11

Re: Freebsd + Samba + AD + ACL

Непрочитанное сообщение sudo » 2012-10-05 19:46:00

admin users = "@MYDOM\Администраторы домена" ? Ну ты еще на китайском напиши, samba все поймет

sins
проходил мимо
Сообщения: 8
Зарегистрирован: 2011-06-10 4:58:59

Re: Freebsd + Samba + AD + ACL

Непрочитанное сообщение sins » 2012-10-06 8:54:51

sudo писал(а):admin users = "@MYDOM\Администраторы домена" ? Ну ты еще на китайском напиши, samba все поймет
Вы намекаете на то, что русский язык не распознаётся samboй? или синтаксис неверный?

sudo
мл. сержант
Сообщения: 132
Зарегистрирован: 2011-02-05 10:54:11

Re: Freebsd + Samba + AD + ACL

Непрочитанное сообщение sudo » 2012-10-06 14:50:31

sins писал(а):
sudo писал(а):admin users = "@MYDOM\Администраторы домена" ? Ну ты еще на китайском напиши, samba все поймет
Вы намекаете на то, что русский язык не распознаётся samboй? или синтаксис неверный?
Кодировка русской кириллицы имеет _как минимум_ 3 варианта CP1251, KOI8-R, UTF-8 )

sudo
мл. сержант
Сообщения: 132
Зарегистрирован: 2011-02-05 10:54:11

Re: Freebsd + Samba + AD + ACL

Непрочитанное сообщение sudo » 2012-10-06 14:51:28

Называйте просто латиницей админов домена, так проще )

sins
проходил мимо
Сообщения: 8
Зарегистрирован: 2011-06-10 4:58:59

Re: Freebsd + Samba + AD + ACL

Непрочитанное сообщение sins » 2012-10-06 17:07:17

sudo писал(а):Называйте просто латиницей админов домена, так проще )
это понятночто проще, но по умолчанию домен на русском. в прошлый раз работало и на русском.
к тому же пробовал только группы на англицком. не помогло.

п.с. между делом решил проверить Ubuntu прилепить к домену. с наскоку не встало - может чёта с доменом за это время произошло?