SAMBA share для АД пользователей

[zeone]

Я хочу сделать папку (share) и в ней добавлять каталоги для пользователей, но чтоб для каждого каталога был свой пользователь и левые не могли зайти куда не положено... как это можно сделать? Авторизация идет при помощи АД. Думаю можно ограничить права на каталоги при помощи файловой системы (сделать владельцем папки и при помощи чмода закрыть всем кроме него) но тогда как делать владельца если пользователи хранятся в АД? Может как то через winbindd? команда wbinfo -u показывает список пользователей домена, может как то ее можно использовать. также если я пишу например id user (где user это доменный пользователь) то мне выводится вся информация о нем...
Пробовал так сделать...

Код: Выделить всё

[zeone@tehas upload ]# id ponomarenko
uid=10002(ponomarenko) gid=10009(п©п?п?я?пЇп?п?п?я?п?п?п? пЄп?п?п?пҐп?) groups=10009(п©п?п?я?пЇп?п?п?я?п?п?п? пЄп?п?п?пҐп?)
[zeone@tehas upload ]# chown ponomarenko ./ponomarenko/
[zeone@tehas upload ]# chmod -R 700 ./ponomarenko/
[zeone@tehas upload ]# ls -lh
total 13266
-rw-r--r--  1 root         wheel     0B 14 фев 10:55 100500.txt
-rw-r--r--  1 ftp          wheel   2,7M 17 фев 10:51 8p_upd872.exe
-rw-r--r--  1 ftp          wheel    10M 17 фев 15:03 destiny.mov
drwx------  2 ponomarenko  wheel   512B 17 фев 16:05 ponomarenko

Но туда могут заходить все 8(

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[snorlov]

Начните с того, что правильно выставите консоль на сервере и второе вы acl на том, где лежит шара включили

Код: Выделить всё

tunefs -a enable ...

[zeone]

А можно детальнее я просто не на столько хорошо знаю эту ось 8(
Что такое acl и зачем он нужен...
Что такое tunefs

[arkan]

Я у себя в конторе сделал элементарно такое же
Все так же как и у топикстартера Samba+AD
На файловом сервере создал шару USERS
и в ней уже очень много всяких подпапок - каждая папка это папка строго определенного юзверя
Права доступа задал просто ручками через MC - долго но все работает уже годами, кроме хозяина папки никто левый ничего даже и не видет
как дополнение прикрутил дисковые квоты чтоб сильно сервак не засирали
Был правда случай не очень хороший: систему пришлось как то переустановить и все права доступа на папки пришлось заново переделывать
Все доменные юзвери и группы по инглишу - a.krivoschekova и так далее

[zeone]

arkan
Меня как раз интересует такой способ. Не моглибы Вы более детально описать... просто я еще не очень силен в этом всем 8(

[arkan]

Да куда тут подробнее то ???
заводишь файлопомойку в AD
Создаешь шару одну и выставляешь ей права доступа только чтение чтоб не могли туда что либо закачивать
в шаре создаешь много папок под каждого юзверя
Потом через MC наводишь на шару и далее F9 - File - Advansed Chown - под owner выбираешь строго определенного юзверя (там из AD тоже юзвери будут) - делаешь ему полные права на эту папку
Под пунктом other удаляешь все
Под пунктом group удаляешь все

Кроме хозяина папки больше ни кто туда зайти не сможет и вообще каждый юзверь видит только свою папку
Эти папки можно подключить как сетевой диск

[zeone]

Я так пытался сделать но проблема в том что показует только фришных юзверей... а вот из АД никого 8(
Хотя при этом

Код: Выделить всё

[18:11:08][root@tehas:/usr/home/zeone] $ id vovk
uid=10001(vovk) gid=10009(пользователи домена) groups=10009(пользователи домена)
[18:11:16][root@tehas:/usr/home/zeone] $ id ponomarenko
uid=10002(ponomarenko) gid=10009(пользователи домена) groups=10009(пользователи домена)

[snorlov]

Приведи вывод

Код: Выделить всё

mount

[zeone]

Код: Выделить всё

[09:14:53][root@tehas:/usr/home/zeone] $ mount
/dev/da0s1a on / (ufs, local)
devfs on /dev (devfs, local, multilabel)
/dev/da0s1e on /tmp (ufs, local, soft-updates)
/dev/da0s1f on /usr (ufs, local, soft-updates)
/dev/da0s1d on /var (ufs, local, soft-updates)
/dev/da1s1d on /ftp (ufs, local, soft-updates)

[snorlov]

У тебя не включены расширенные права на томах, поэтому они и не отображаются....
в синг мод и

Код: Выделить всё

tunefs -a enable  /dev/da0s1...

достаточно будет их включить там, где ты юзаешь шары самбы, хотя честно говоря, я их врубаю везде

[zeone]

Сделал следующие телодвижения честно говоря сам немного запустался что к чему но в принципе частично результат есть

Код: Выделить всё

[15:31:24][root@tehas:/usr/home/zeone] $ umount /dev/da1s1d
[tunefs -a enable  /dev/da1s1d
tunefs: POSIX.1e ACLs set
[15:32:13][root@tehas:/usr/home/zeone] $ df
Filesystem  1K-blocks     Used   Avail Capacity  Mounted on
/dev/da0s1a    507630   328000  139020    70%    /
devfs               1        1       0   100%    /dev
/dev/da0s1e    507630      334  466686     0%    /tmp
/dev/da0s1f  16271590 12451032 2518832    83%    /usr
/dev/da0s1d   2026030   185996 1677952    10%    /var
[15:32:16][root@tehas:/usr/home/zeone] $ mount
/dev/da0s1a on / (ufs, local)
devfs on /dev (devfs, local, multilabel)
/dev/da0s1e on /tmp (ufs, local, soft-updates)
/dev/da0s1f on /usr (ufs, local, soft-updates)
/dev/da0s1d on /var (ufs, local, soft-updates)
[15:32:21][root@tehas:/usr/home/zeone] $ mc

[tunefs -a enable  /dev/da1s1
tunefs: POSIX.1e ACLs remains unchanged as enabled
[mount /dev/da1s1d
[15:33:27][root@tehas:/usr/home/zeone] $ df
Filesystem  1K-blocks       Used      Avail Capacity  Mounted on
/dev/da0s1a     507630    328000     139020    70%    /
devfs                1         1          0   100%    /dev
/dev/da0s1e     507630       334     466686     0%    /tmp
/dev/da0s1f   16271590  12451032    2518832    83%    /usr
/dev/da0s1d    2026030    185996    1677952    10%    /var
/dev/da1s1d 1523374366 138983276 1262521142    10%    /ftp
[tunefs -a enable  /dev/da1s1d
tunefs: POSIX.1e ACLs remains unchanged as enabled
tunefs: /dev/da1s1d: failed to write superblock
[15:33:45][root@tehas:/usr/home/zeone] $ unmount /dev/da1s1d
su: unmount: команда не найдена
[umount /dev/da1s1d
[tunefs -a enable /dev/da1s1d
tunefs: POSIX.1e ACLs remains unchanged as enabled
[15:35:00][root@tehas:/usr/home/zeone] $ mount
/dev/da0s1a on / (ufs, local)
devfs on /dev (devfs, local, multilabel)
/dev/da0s1e on /tmp (ufs, local, soft-updates)
/dev/da0s1f on /usr (ufs, local, soft-updates)
/dev/da0s1d on /var (ufs, local, soft-updates)
[mount /dev/da1
da1     da1s1   da1s1d
[15:35:15][root@tehas:/usr/home/zeone] $ mount /dev/da1s1d
[15:35:40][root@tehas:/usr/home/zeone] $ mount
/dev/da0s1a on / (ufs, local)
devfs on /dev (devfs, local, multilabel)
/dev/da0s1e on /tmp (ufs, local, soft-updates)
/dev/da0s1f on /usr (ufs, local, soft-updates)
/dev/da0s1d on /var (ufs, local, soft-updates)
/dev/da1s1d on /ftp (ufs, local, soft-updates, acls)

Но при этом к сожалению нету никакого прогреса 8( в мс показует только пользователей фри а вот доменных нету 8(

[zeone]

p.s. не обращайте внимания на квадратные скобки ([tun) я писал все нормально просто пути сделал на весь экран и оно просто налаживалось на системную инфу

[snorlov]

Давайте сначала, samba какая стоит? и второе шары самбовские на каких разделах висят, можно smb.conf показать, заодно

Код: Выделить всё

getent passwd 
getent group

показывают пользователей и группы AD?
ну и наконец, что юзаем

Код: Выделить всё

uname -a

[zeone]

Крутится на

Код: Выделить всё

[16:53:07][root@tehas:/usr/home/zeone] $ uname -a
FreeBSD tehas.party2.avec 8.1-RELEASE FreeBSD 8.1-RELEASE #3: Thu Feb 24 14:50:37 EET 2011     zeone@tehas.party2.avec:/usr/obj/usr/src/sys/NEW  i386

Конфиг самбы

Код: Выделить всё

[global]
        dos charset = UTF-8
        display charset = UTF-8
        workgroup = PARTY2
        realm = PARTY2.AVEC
        server string = Samba
        interfaces = em0
        security = ADS
        auth methods = winbind
        null passwords = Yes
        password server = 192.168.9.125
        log level = 2
        log file = /var/log/samba/log.%m
        max log size = 50
        smb ports = 139
        name resolve order = hosts wins bcast lmhosts
        client signing = Yes
        socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192
        os level = 0
        local master = No
        domain master = No
        dns proxy = No
        wins server = 192.168.9.125
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        hosts allow = 127.0.0.1, 192.168.9.
        case sensitive = No
        client ntlmv2 auth = yes
[Install]
        path = /ftp/files/install
        invalid users = @Ftp_deny
        admin users = @Ftp_admins
        write list = @Ftp_admins
        read only = No
        hosts allow = 192.168.9., 127.0.0.1, 192.168.1., 192.168.2., 192.168.3.

[Upload]
        path = /ftp/files/upload
        invalid users = @Ftp_deny
        admin users = @Ftp_admins
        write list = @Ftp_admins
        read only = No
        hosts allow = 192.168.9., 127.0.0.1, 192.168.1., 192.168.2., 192.168.3.

[www]
        path = /usr/local/www
        invalid users = @Ftp_deny
        admin users = @Ftp_admins
        write list = @Ftp_admins
        read only = No
        hosts allow = 192.168.9., 127.0.0.1, 192.168.1., 192.168.2., 192.168.3.
[test]
        path = /ftp/share/test
        valid users = @Ftp_admins, PARTY2\ponomarenko
        admin users = @Ftp_admins, PARTY2\ponomarenko
        read list = @Ftp_admins, PARTY2\ponomarenko
        write list =@Ftp_admins,  PARTY2\ponomarenko
        read only = No
        hosts allow = 192.168.9., 127.0.0.1, 192.168.1., 192.168.2., 192.168.3.
        access based share enum = Yes

Пользователи АД

Код: Выделить всё

[16:55:06][root@tehas:/usr/home/zeone] $ wbinfo -u
fc13fde8-8e05-41f1-9
3cf62b66-bbb9-4165-a
ef60dcc8-8a1e-404c-a
1c-bot
alert-admin
frog
vovk
asavchenko
chernyshov
dolinsky
ohrana
print_ldap
whatsup_user
drive
zaytsev
...

ну еще и так можно посмотреть на мою учетку в домене

Код: Выделить всё

[16:57:42][root@tehas:/usr/home/zeone] $ id ponomarenko
uid=10002(ponomarenko) gid=10009(пользователи домена) groups=10009(пользователи домена)

[snorlov]

Ну а где в smb.conf

Код: Выделить всё

 nt acl support = yes 

[zeone]

Добавил! пока результата незамечаю я так понял что теперь можно ставить права на папку как на обычной виндовой машине. Но только чтото мне кажеться что не выставил правельные права на папку тест (онаже будущая шара) можете подсказать как правильно это сделать чтоб внутри папки только чтение а дальше я смогбы при помощи acl ограничивать доступ?

[zeone]

Как вариант я сделал чмод 700 на тестовую директорию при помощи acl сделал себя владельцем и закоментировал строку admin users = @Ftp_admins, PARTY2\ponomarenko таким образом сработало

[snorlov]

Ну если она будущая шара, так с ней можно делать все, что хочешь, в самбе параметров дофига от наследования до масок прав и файлов/каталогов, а расширенные права на консоли даются/просматриваются через setfacl/getfacl...