Страница 1 из 1
Freebsd + Samba + AD + ACL
Добавлено: 2012-08-17 0:06:33
sinir
Начну с того что я уже собирал такую вещь как файловый сервак на фряхе + АД.
Но при сборке нового файлового сервера на фре 8.3 + самба 3.6 + heimdal, почему то самба не хочет работать с ACL расшаренных папок. Такое ощущение что действуют права по chmod, т.е. на шару могут заходить кто хочешь и делать с права что хочешь. Все доступы по безопасности которые я проставляю через проводник - не работают. Какие только не пробовал комбинации конфигов.
tunefs -a enable делал после umount - шары не на основном разделе. поддержка ufs_acl я так понимаю включена в generic.
Никто не сталкивался? Народ, маюсь уже 3 дня. Если есть конфиги под фряху 8.3 буду рад.
Re: Freebsd + Samba + AD + ACL
Добавлено: 2012-08-17 0:09:49
sinir
а забыл добавить, так мысли вслух - до этого думал для разнообразия запилить всё это на ubunte, но у меня была проблема с назначением доступа - при назначении прав на изменение - устанавливался полный доступ.
Re: Freebsd + Samba + AD + ACL
Добавлено: 2012-08-17 6:53:20
sins
Решил не торопясь всё сделать заново.
На фряху 8.3 для контакта с win 2003 Rus server накатил samba 3.6 c таким конфигом:
smb.conf
Код: Выделить всё
[global]
dos charset = cp866
unix charset = koi8-r
display charset = koi8-r
workgroup = MYDOMAIN
realm = MYDOMAIN.MY
server string = File server
security = ADS
log file = /var/log/samba/log.%m
max log size = 100
socket options = SO_RCVBUF=8192 SO_SNDBUF=8192
load printers = No
local master = No
dns proxy = No
idmap config * : backend = tdb
inherit acls = Yes
hosts allow = 192.168.0., 127.
map acl inherit = Yes
[share]
path = /share/test
admin users = MYDOMAIN\sin
write list = @MYDOMAIN\buh
read only = No
inherit permissions = Yes
inherit owner = Yes
И всё больше ничего не накатывал.
Попасть на шару могу, в домен ввел.
tunesfs -a enable - делал (/dev/ad10s2e on /share/test (ufs, local, soft-updates, acls))
nsswitch.conf
Код: Выделить всё
group: files winbind
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files
НО: не могу теперь редактировать права доступа из проводника - любые изменения не сохраняются.
Что еще где надо поправить?
Re: Freebsd + Samba + AD + ACL
Добавлено: 2012-08-17 8:45:32
snorlov
Чтитаем про inherit acls. Не люблю я 3.6, вот 3.5 другое дело...
Re: Freebsd + Samba + AD + ACL
Добавлено: 2012-08-17 15:35:10
sins
немного покопав - дело не в acl напрямую, а по ходу фря не спрашивает winbind о пользователе???
wbinfo -u-g -a user%pass всё работает
id user : пишет no such user
Re: Freebsd + Samba + AD + ACL
Добавлено: 2012-08-18 15:56:19
sins
в rc.conf всё включено
Re: Freebsd + Samba + AD + ACL
Добавлено: 2012-08-19 13:24:54
sins
Пока не сдаюсь:)
Удалил всё к ****.
Сначала. AD - win 2003. freebsd 8.3 samba 3.6
Здесь есть тэг спойлера?
Продвинулся к тому что id выдаёт доменную учетку!
Но вернулся к игнорированию acl прав доступа учетками пользователей winды, хотя они проставляются и сохраняются!
Настроил время, часовой пояс - всё ок!
/usr/ports/net/samba36
make config
Код: Выделить всё
[X] LDAP With LDAP support ¦ ¦
[X] ADS With Active Directory support ¦ ¦
[ ] CUPS With CUPS printing support ¦ ¦
[X] WINBIND With WinBIND support ¦ ¦
[X] SWAT With SWAT WebGUI ¦ ¦
[X] ACL_SUPPORT With ACL support ¦ ¦
[ ] AIO_SUPPORT With Asyncronous IO support ¦ ¦
[ ] FAM_SUPPORT With File Alteration Monitor ¦ ¦
[X] SYSLOG With Syslog support ¦ ¦
[X] QUOTAS With Disk quota support ¦ ¦
[ ] UTMP With UTMP accounting support ¦ ¦
[ ] PAM_SMBPASS With PAM authentication vs passdb backends ¦ ¦
[ ] DNSUPDATE With dynamic DNS update(require ADS) ¦ ¦
[ ] AVAHI With Bonjour service discovery support ¦ ¦
[ ] EXP_MODULES With experimental modules
make install clean
krb5.conf
Код: Выделить всё
[libdefaults]
default_realm = MYDOM.ORG
ticket_lifetime = 24000
clock_skew = 300
[realms]
MYDOM.ORG = {
kdc = pdc.mydom.org
admin_server = pdc.mydom.org
default_domain = mydom.org
}
[domain_realm]
.mydom.org = MYDOM.ORG
mydom.org = MYDOM.ORG
smb.conf
Код: Выделить всё
[global]
dos charset = cp866
unix charset = koi8-r
display charset = koi8-r
workgroup = MYDOM
realm = MYDOM.ORG
server string = FS
security = ADS
password server = pdc.mydom.org
log file = /var/log/samba/log.%m
max log size = 100
client signing = Yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
load printers = No
local master = No
dns proxy = No
ldap ssl = no
winbind cache time = 10
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
idmap config * : range = 10000-20000
idmap config * : backend = tdb
inherit acls = Yes
hosts allow = 192.168.0., 127.
map acl inherit = Yes
[test]
path = /share/test
admin users = "@MYDOM\Администраторы домена"
write list = @MYDOM\test
read only = No
inherit permissions = Yes
inherit owner = Yes
nsswitch.conf | grep winbind
pam.d/login
Код: Выделить всё
# auth
auth<--><------>sufficient<---->pam_self.so<---><------>no_warn
auth<--><------>sufficient<---->/usr/local/lib/pam_winbind.so
auth<--><------>include><------>system
# account
account><------>sufficient<---->/usr/local/lib/pam_winbind.so
account><------>requisite<----->pam_securetty.so
account><------>required<------>pam_nologin.so
account><------>include><------>system
# session
session><------>include><------>system
# password
password<------>include><------>system
net ads join - OK
wbinfo - OK
kinit - OK
id domainuser- OK
Продвинулся к тому что id выдаёт доменную учетку!
Но вернулся к игнорированию acl прав доступа учетками пользователей winды, хотя они проставляются и сохраняются!
Re: Freebsd + Samba + AD + ACL
Добавлено: 2012-10-03 15:53:38
snorlov
Re: Freebsd + Samba + AD + ACL
Добавлено: 2012-10-03 19:08:22
sins
Спасибо за ответ, пробовал. Пробовал даунгрэйд портов - тот же эффект. Не пробовал только даунгрэйд фряхи. Я конечно склоняюсь что у меня с руками чтото, но еклмнпрст
В итоге забил на всё - накатил винду - расшарил папки.
Растройство по двум пунктам:
1. Какого хююа не работает, хотя в прошлый раз всё было ок?
2. Потерял столько времени (часов 50) - хотя комп пришел с лицензией винды 64х - можно было решить всё за пару сек. Вот и думай потом...
Re: Freebsd + Samba + AD + ACL
Добавлено: 2012-10-05 19:46:00
sudo
admin users = "@MYDOM\Администраторы домена" ? Ну ты еще на китайском напиши, samba все поймет
Re: Freebsd + Samba + AD + ACL
Добавлено: 2012-10-06 8:54:51
sins
sudo писал(а):admin users = "@MYDOM\Администраторы домена" ? Ну ты еще на китайском напиши, samba все поймет
Вы намекаете на то, что русский язык не распознаётся samboй? или синтаксис неверный?
Re: Freebsd + Samba + AD + ACL
Добавлено: 2012-10-06 14:50:31
sudo
sins писал(а):sudo писал(а):admin users = "@MYDOM\Администраторы домена" ? Ну ты еще на китайском напиши, samba все поймет
Вы намекаете на то, что русский язык не распознаётся samboй? или синтаксис неверный?
Кодировка русской кириллицы имеет _как минимум_ 3 варианта CP1251, KOI8-R, UTF-8 )
Re: Freebsd + Samba + AD + ACL
Добавлено: 2012-10-06 14:51:28
sudo
Называйте просто латиницей админов домена, так проще )
Re: Freebsd + Samba + AD + ACL
Добавлено: 2012-10-06 17:07:17
sins
sudo писал(а):Называйте просто латиницей админов домена, так проще )
это понятночто проще, но по умолчанию домен на русском. в прошлый раз работало и на русском.
к тому же пробовал только группы на англицком. не помогло.
п.с. между делом решил проверить Ubuntu прилепить к домену. с наскоку не встало - может чёта с доменом за это время произошло?