Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Общий по Linux (http://forum.oszone.net/forumdisplay.php?f=9)
-   -   Linux+samba+win2k3 AD = файлопомойка. Как сделать? (http://forum.oszone.net/showthread.php?t=86447)

h2o 05-07-2007 17:42 608627
Linux+samba+win2k3 AD = файлопомойка. Как сделать?
 
Народ! Перечитал кучу инструкций как сделать Linux+samba+win2k3 AD = файлопомойка но нифига нет нормальных разьяснений от и до... и поэтому возникла масса вопросов:

1. какие пакеты для реализации заданного нужны? только samba или ещё winbind или ещё что?

2. в разных инструкциях по разному описанно как подключить помойку в контроллеру домена, и в основном вся настройка сводится к редактированию smb.conf и вводом строки smbpasswd.... и т.д. И что всё? у меня дак не подключается так.. Может ещё что нужно настраивать?

3. И я если честно вообще не понимаю как реализована помойка на linux. В виндах просто - комп в домене, диск NTFS, доменные права на папки присвоены группам или юзерам. А в linux как? раздел диска - ext3 например /home папка и 2 подпапки:
/home
---- /PTO
---- /BUH

как мне задать чтобы только доменные юзеры принадлежащие к группе PTO смогли входить в папку /PTO а все остальные нет? или например чтобы все юзеры доменные могли просматривать папку /BUH но только бухгалтера группы BUH могли в ней что-то менять и у далять и т.д.
в виндах я бы вызвал вкладку безопасность и всё настроил... а тут как? как я задам доменным юзерам? у меня же они не появятся в списке локальных пользователей?

4. А как обычно помойки организуются? к настроенному серваку дополнительно вешаются 2 RAID винта или на эти 2 винта разбиваются на разделы и ещё и на них ОС ставят. А какую файловую систему на них делают? Или ещё как?


5. А если автомаунт например 2х RAID NTFS винтов делать? или глупость сказал? ну или FAT винтов. или вообще что я несу? нифига не понятно. в виндах 2 вкладки - доступ+безопасность. доступ - разрешения на видение и доступ из сети а безопасность это то что я смогу с этой папкой сделать.. блин а как аналогично в linux я понять не могу..

народ помогите плиз разобраться.

з.ы. ответье плиз на все вопросы!

BuGfiX 05-07-2007 20:04 608684
1. Выбор пакетов и их названия зависят от дистрибутива.
2. Подключение делается именно так как Вы и сказали. Правится smb.conf и выполняется команда net join ...
3.
Цитата:
как мне задать чтобы только доменные юзеры принадлежащие к группе PTO смогли входить в папку /PTO а все остальные нет?
в конфиге самбы:
Код:
[PTO]
path = /home/PTO
vaild users = @pto
и т.д.
Цитата:
или например чтобы все юзеры доменные могли просматривать папку /BUH но только бухгалтера группы BUH могли в ней что-то менять и у далять и т.д.
Код:
[BUH]
path = /home/BUH
write list = @buh
и т.д.
4.
Цитата:
А какую файловую систему на них делают?
Да любую какая Вам больше нравится.. ReiserFS, ext3 например..
5.
Цитата:
в виндах 2 вкладки - доступ+безопасность. доступ - разрешения на видение и доступ из сети а безопасность это то что я смогу с этой папкой сделать.. блин а как аналогично в linux я понять не могу..
В Windows насколько я знаю "безопасность" - это разрешения файловой системы на файлы и директории. В линуксе они как ни странно тоже есть. Смотрите в сторону команды chmod. А "доступ" к шарам настраивается в smb.conf.

h2o 06-07-2007 10:24 608985
BuGfiX спасибо, но ещё по поводу в. 5

Цитата:
В Windows насколько я знаю "безопасность" - это разрешения файловой системы на файлы и директории. В линуксе они как ни странно тоже есть. Смотрите в сторону команды chmod. А "доступ" к шарам настраивается в smb.conf.
дак всё таки я не понял доступ к сетевым папкам я через smb.conf настроил. а разрешения на файловую систему через Chmod нужно делать? если нужно то как я их задам для доменных юзеров?

[mzd] 06-07-2007 10:42 608996
Цитата:
разрешения на файловую систему через Chmod нужно делать?
Что вы под этим понимаете? Чтение/запись в шаре настраивается через smb.conf , а запись содержимого папки на диск разруливает самба.

h2o 06-07-2007 11:13 609023
короче мы идруг друга не понимаем. блин как обьяснить?

мне просто например в /home создать папки и доступ в smb.conf прописать и всё что ли? больше не нужно ничего настраивать с доступом?

или нужно создать папки и на каждую из них дать разрешения для доменных юзеров через chmod?
или нужно создать папки и на каждую из них дать разрешения или samba через chmod?

как?

BuGfiX 06-07-2007 19:19 609346
Chmod-ом ползоваться нужно только в том случае, если самба сама не может писать в нужные директории. А в остальном - все права на чтение/запись раздаются через smb.conf.

1Space 06-07-2007 20:41 609376
Могу посоветовать полное руководство (от начала и до конца) как включить в домен на Win 2003 сервер с самбой
http://community.asplinux.ru/forum/3/18936/
гто-то в середине темы полное руководство описывается

h2o 23-07-2007 18:04 617577
Всем спасибо за ответы! Я уже запарился мучать это дело, и нифига не выходит.
Сначало я решил по-простому сделать, без winbind

Делаю на Mandriva 2007 Free
Windows 2003 server SP2 RUS - контроллер домена с АД. Работает в режиме windows 2003 (самый максимальный)
Домен - porevo.local. Контроллер домена (комп) - TADserver, (полное имя TADserver.porevo.local)

Отредактировал smb.conf:

[global]
realm = porevo.local
workgroup = porevo
netbios name = LPSS
server string = Файловая помойка
hosts allow = 192.168.5. 127.
log file = /var/log/samba/log.smbd
max log size = 4
security = domain
password server = TADserver
allow trusted domains = no
encrypt passwords = yes
admin users = admin
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

[Share]
comment = Share
path = /tmp
public = no
writeable = yes
valid users = @"BUH", porevo\users, @"admin", @"porevo\пользователи домена"

Потом отредактировал lmhosts:

127.0.0.1 localhost
192.168.5.1 pdc
192.168.5.2 bdc - ну вообще его нет!!!

Потом отредактировал krb5.conf

[logging]
default = FILE:/var/log/kerberos/krb5libs.log
kdc = FILE:/var/log/kerberos/krb5kdc.log
admin_server = FILE:/var/log/kerberos/kadmind.log
[libdefaults]
ticket_lifetime = 24000
default_realm = porevo.local
default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
permitted_enctypes = des3-hmac-sha1 des-cbc-crc
dns_lookup_realm = true
dns_lookup_kdc = true
kdc_req_checksum_type = 2
checksum_type = 2
ccache_type = 1
forwardable = true
proxiable = true
[realms]
porevo.local = {
kdc = TADserver.porevo.local:88
admin_server = TADserver.porevo.local:749
default_domain = porevo.local
}
[domain_realm]
.porevo.local = porevo.local
[kdc]
profile = /etc/kerberos/krb5kdc/kdc.conf
[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
[login]
krb4_convert = false
krb4_get_tickets = false

Это всё.

Захожу с виндового компа который в домене под доменным юзером на помойку, вылезает окно с вводом имени и

пароля, ввожу и админа и других пользователей, принадлежащих к группе BUH для которых открыт доступ к шаре и

нифига не входит В логах пусто! Ни одной ошибки нет!
А если я попробую в это окно ввести имя и пароль не существующего пользователя, то в логах свмбы будет написано

что ПДЦ сказал нет такого юзера. Значит аутентификация работает! А зайти не могу.

Я создавал папку в корне диска, давал на неё полные права и руту и nobody а один фиг не могу попасть никак!

Может кто знает как сделать?

h2o 26-07-2007 09:42 618826
замучался!!! хелп!!!выше я описал что настроил /etc/hosts, /etc/resolv.conf, /etc/krb5.conf,
/etc/samba/lmhosts, /etc/samba/smb.conf

Windows 2003 server SP2 RUS - контроллер домена с АД. Работает в режиме windows 2003 (самый максимальный). Может в этом дело что смешанный нужно?

Билет kinit не выдает ничего. молча проходит, klist не показывает новых билетов. там тока 1 билет висит, полученный net join -U admin:
krbtgt/POREVO.LOCAL@POREVO.LOCAL
это так и должно быть? (странно что POREVO.LOCAL@POREVO.LOCAL)

# net ads join -P говорит
Kerberos_kinit_password LPSS$@POREVO.LOCAL failde: Clients Credential has been revoked

# net ads join -U admin
admin's password: ********
Using short domain name -- POREVO
Failed to set servicePrincipalNames. Please ensure that
the DNS domain of this server matches the AD domain,
Or rejoin with using Domain Admin credentials.
Disabled account for 'lpss' in realm 'POREVO.LOCAL'

hostname: lpss.porevo.local

не побеждается проблема!!! хелп народ!!

S.M.A.X. 10-09-2008 15:27 895523
Добрый день. Я тут новичок, да и Linux только начал изучать, так, что сильно не пинайте.
Ось Mandriva Spring Free 2008.1
Застопорился на вводе системы в Windows домен.
net rpc join -U administrator
Password:
Could not connect to server LINUX_1
The username or password was not correct.
Connection failed: NT_STATUS_LOGON_FAILURE

Делал все со статьи на wiki http://wiki.linux.ru/index.php/Linux...ws_2003_domain

Конфиги:

smb.conf
[global]
workgroup =DOM
security = domain
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
hostname lookups = yes
idmap uid = 10000-50000
idmap gid = 10000-50000
encrypt passwords = yes
template shell = /bin/bash
template homedir = /home/%D/%U
template primary group = users
winbind use default domain = yes
winbind nested groups = yes
winbind enum groups = yes
winbind enum users = yes
unix charset = UTF8
dos charset = cp866
allow trusted domains = no
client schannel = no

В lmhosts.conf прописан IP и имя сервера.
В resolv.conf nameserver (Ip сервера) search DOM

Если зайти в сеть, то вижу домен, все компы в домене. Осталось добавить в виндовый домен.

Аlchemist 10-09-2008 16:02 895557
S.M.A.X.,
Время синхронизировано?
Вообще мутноватая статья, я бы сделал security=ads для начала...

S.M.A.X. 11-09-2008 06:33 896073
Время синхронизуется, это я делаю в первую очередь, а затем уже ввод в домен (


Время: 05:05.

Время: 05:05.
© OSzone.net 2001-