forum.opennet.ru - "Права доступа к ресурсам для AD групп" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Права доступа к ресурсам для AD групп"

Форумы Открытые системы на сервере (Samba, выделена в отдельный форум / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Права доступа к ресурсам для AD групп"		+/–
Сообщение от KomaLex (ok) on 30-Апр-10, 09:44
вот задача у меня сделать файловый сервер и соответственно разграничить доступ по правам. В общем то все работает, но есть одно но. Не получается давать доступ по группам. Вернее получается, но можно указывать только первую группу пользователя, которая имеет GID в системе. А это неудобно, а вернее даже бесполезно. Потому что у всех пользователей домена она одна и та же. вот сама шара: [ITO] comment = Home Directories path = /usr/usrdata/ito valid users = @PROC\programmers admin users = PROC\komal write list = PROC\komal read only = No create mask = 0777 directory mask = 0777 inherit permissions = Yes inherit owner = Yes vfs objects = recycle, full_audit recycle:versions = yes recycle:keeptree = yes recycle:maxsize = 104851000 recycle:exclude = .tmp \| .TMP \| ~$* recycle:repository = /usr/usrdata/recycles full_audit:priority = INFO full_audit:facility = LOCAL5 full_audit:failure = write rename unlink mkdir rmdir full_audit:success = write rename unlink mkdir rmdir full_audit:prefix = %m\|%U Так вот, загвоздка в параметре valid users = @PROC\programmers Вернее в его значении. Вот например вывод команды id uid=10000(komal) gid=10014(пользователи домена) groups=10014(пользователи домена), 10011(администраторы предприятия),10013(администраторы домена), 10010(администраторы схемы),10025(oko),10027(programmers), 10030(consultant-users), 10031(garant-users),10044(kladmins),10055(mailallproc),10057(allmail) Так вот, если я пишу valid users = @"PROC\пользователи домена" то доступ есть и все нормально. А вот если я пишу любую другую группу, не первую, например: valid users = @"PROC\programmers" то доступа к это шаре нет. Скажите как обойти это. Что бы он мапил не только первую группу, а все группы пользователя. И еще как видно из конфига включены acls и на фс тоже все включено и вроде бы можно из винды редактировать шары админ юзеру. И они редактируются. Но вот беда, там тоже можно добавлять только пользователей или вот эту первую группу пользователи домена. Остальные он как бы не находит. Не пойму где собака порылась. Вот сам конфиг: ничего особеного в нем нет. [global] dos charset = cp866 unix charset = koi8-r display charset = koi8-r workgroup = DOMAIN realm = DOMAIN.LOCAL server string = Samba Server mx interfaces = 192.168.1.1/23 security = ADS auth methods = winbind password server = pdc.domain.local bdc.domain.local passdb backend = tdbsam log level = 0 vfs:1 log file = /var/log/samba/log.%m max log size = 50000 os level = 33 preferred master = Yes local master = No domain master = Yes dns proxy = No wins server = 192.168.1.251 idmap uid = 10000-20000 idmap gid = 10000-20000 winbind enum users = Yes winbind enum groups = Yes winbind use default domain = Yes winbind refresh tickets = Yes inherit acls = Yes hosts allow = 192.168.0.0/23, 127. map acl inherit = Yes case sensitive = No
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Права доступа к ресурсам для AD групп, KomaLex, 09:26 , 05-Май-10, (1)

Права доступа к ресурсам для AD групп, KobaLTD., 12:54 , 05-Май-10, (2)
Права доступа к ресурсам для AD групп, tux2002, 18:39 , 05-Май-10, (3)

Права доступа к ресурсам для AD групп, chapayev, 15:15 , 07-Май-10, (4)

Права доступа к ресурсам для AD групп, Денис, 00:33 , 12-Май-10, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Права доступа к ресурсам для AD групп" +/–

Сообщение от KomaLex (ok) on 05-Май-10, 09:26

У кого нибудь нормально работает с правами групп домена? Покажите конфиг самбы.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Права доступа к ресурсам для AD групп" +/–

Сообщение от KobaLTD. on 05-Май-10, 12:54

>У кого нибудь нормально работает с правами групп домена? Покажите конфиг самбы.
>
1-вариант - сопоставить группу на локале с группой из домена и раздовать локальные группы.
2-вариант - берет не первую группу, а "primary group" и АД, меняй пользователям "основную" группу (не спасет если есть у юзвера 2 и более "равноправных групп")
З.Ы. 1,5 - вариант - включи в АД расширее для UNIX авторизации.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Права доступа к ресурсам для AD групп" +/–

Сообщение от tux2002 (ok) on 05-Май-10, 18:39

>У кого нибудь нормально работает с правами групп домена? Покажите конфиг самбы.
>
Работает, но через smb.conf я правами не рулю. FS включен в AD. nsswitch дополнен разрешением имён через winbindd. Таки образом я могу использовать в acl (setfack getfacl) на файлы/каталоги имена пользователей AD. А в smb.conf на шары только guest ok = no.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Права доступа к ресурсам для AD групп" +/–

Сообщение от chapayev (ok) on 07-Май-10, 15:15

  Это стереть valid users = @PROC\programmers
        admin users = PROC\komal
        write list = PROC\komal
После этого ,если твой FS введен в АД , заходиш на контроллер домена и через управление компьютером -> подключиться , попробовать законектиться к своему серверу. После этого можно рулить доступом к шарам из винды.
Вдополнение привожу свой рабочий конфиг
[global]
auth methods = winbind
netbios name = test
workgroup = DOMAIN
realm = DOMAIN.LOCAL
password server = ADSRV.DOMAIN.LOCAL
encrypt passwords = true
server string = File Server
security = ADS
allow trusted domains = No
socket options = IPTOS_LOWDELAY TCP_NODELAY SO_RCVBUF=16384 SO_SNDBUF=16384
os level = 0
preferred master = No
local master = No
domain master = No
dns proxy = No
ldap ssl = no
idmap uid = 10000-20000
idmap gid = 10000-20000
strict locking = No
time server = Yes
winbind use default domain = true
winbind refresh tickets = yes
winbind enum groups = yes
winbind enum users = yes
log file = /var/log/samba/samba.%m
max log size = 500 0
log level = 1
display charset = utf-8
unix charset = utf-8
dos charset = 866
case sensitive = no
default case = lower
preserve case = yes
#read size = 65536
#read prediction = true
write raw = yes
read raw = yes
wide links=yes
log level = 0 vfs:2
max log size = 0
syslog = 0
[work]
comment = Work
path = /home/work
read only = No
create mask =0660
directory mask =0770
inherit owner =yes
inherit acls =yes
inherit permissions =yes
map acl inherit=yes
hide unreadable = Yes
vfs objects = full_audit
full_audit:prefix = %u|%I
full_audit:failure = none
full_audit:success = mkdir rmdir write sendfile rename unlink chmod fchmod chown fchown ftruncate mknod realpath
full_audit:facility = local5
full_audit:priority = notice
#veto files = /*.avi/*.mp*/*.jpg/*.JPG/*.gif/*.bmp/

[vol1]
comment = Vol1
path = /home/vol1
read only = No
create mask =0660
directory mask =0770
inherit owner =yes
inherit acls =yes
inherit permissions =yes
map acl inherit=yes
hide unreadable = Yes
vfs objects = full_audit
full_audit:prefix = %u|%I
full_audit:failure = none
full_audit:success = mkdir rmdir  read pread write pwrite sendfile rename unlink chmod fchmod chown fchown chdir ftruncate symlink readlink link mknod realpath
full_audit:facility = local5
full_audit:priority = notice
#veto files = /*.avi/*.mp*/

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Права доступа к ресурсам для AD групп" +/–

Сообщение от Денис (??) on 12-Май-10, 00:33

в свое время при помощи tunefs включил поддержку ACL на файловой системе с шарами и уже из-под винды назначал полномочия, может и не совсем unix-like-решение, но работает

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Права доступа к ресурсам для AD групп"		+/–
Сообщение от KomaLex (ok) on 05-Май-10, 09:26
У кого нибудь нормально работает с правами групп домена? Покажите конфиг самбы.
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "Права доступа к ресурсам для AD групп"		+/–
	Сообщение от KobaLTD. on 05-Май-10, 12:54
	>У кого нибудь нормально работает с правами групп домена? Покажите конфиг самбы. > 1-вариант - сопоставить группу на локале с группой из домена и раздовать локальные группы. 2-вариант - берет не первую группу, а "primary group" и АД, меняй пользователям "основную" группу (не спасет если есть у юзвера 2 и более "равноправных групп") З.Ы. 1,5 - вариант - включи в АД расширее для UNIX авторизации.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "Права доступа к ресурсам для AD групп"		+/–
	Сообщение от tux2002 (ok) on 05-Май-10, 18:39
	>У кого нибудь нормально работает с правами групп домена? Покажите конфиг самбы. > Работает, но через smb.conf я правами не рулю. FS включен в AD. nsswitch дополнен разрешением имён через winbindd. Таки образом я могу использовать в acl (setfack getfacl) на файлы/каталоги имена пользователей AD. А в smb.conf на шары только guest ok = no.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "Права доступа к ресурсам для AD групп"		+/–
	Сообщение от chapayev (ok) on 07-Май-10, 15:15
	Это стереть valid users = @PROC\programmers admin users = PROC\komal write list = PROC\komal После этого ,если твой FS введен в АД , заходиш на контроллер домена и через управление компьютером -> подключиться , попробовать законектиться к своему серверу. После этого можно рулить доступом к шарам из винды. Вдополнение привожу свой рабочий конфиг [global] auth methods = winbind netbios name = test workgroup = DOMAIN realm = DOMAIN.LOCAL password server = ADSRV.DOMAIN.LOCAL encrypt passwords = true server string = File Server security = ADS allow trusted domains = No socket options = IPTOS_LOWDELAY TCP_NODELAY SO_RCVBUF=16384 SO_SNDBUF=16384 os level = 0 preferred master = No local master = No domain master = No dns proxy = No ldap ssl = no idmap uid = 10000-20000 idmap gid = 10000-20000 strict locking = No time server = Yes winbind use default domain = true winbind refresh tickets = yes winbind enum groups = yes winbind enum users = yes log file = /var/log/samba/samba.%m max log size = 500 0 log level = 1 display charset = utf-8 unix charset = utf-8 dos charset = 866 case sensitive = no default case = lower preserve case = yes #read size = 65536 #read prediction = true write raw = yes read raw = yes wide links=yes log level = 0 vfs:2 max log size = 0 syslog = 0 [work] comment = Work path = /home/work read only = No create mask =0660 directory mask =0770 inherit owner =yes inherit acls =yes inherit permissions =yes map acl inherit=yes hide unreadable = Yes vfs objects = full_audit full_audit:prefix = %u\|%I full_audit:failure = none full_audit:success = mkdir rmdir write sendfile rename unlink chmod fchmod chown fchown ftruncate mknod realpath full_audit:facility = local5 full_audit:priority = notice #veto files = /.avi/.mp/.jpg/.JPG/.gif/.bmp/ [vol1] comment = Vol1 path = /home/vol1 read only = No create mask =0660 directory mask =0770 inherit owner =yes inherit acls =yes inherit permissions =yes map acl inherit=yes hide unreadable = Yes vfs objects = full_audit full_audit:prefix = %u\|%I full_audit:failure = none full_audit:success = mkdir rmdir read pread write pwrite sendfile rename unlink chmod fchmod chown fchown chdir ftruncate symlink readlink link mknod realpath full_audit:facility = local5 full_audit:priority = notice #veto files = /.avi/.mp/
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "Права доступа к ресурсам для AD групп"		+/–
	Сообщение от Денис (??) on 12-Май-10, 00:33
	в свое время при помощи tunefs включил поддержку ACL на файловой системе с шарами и уже из-под винды назначал полномочия, может и не совсем unix-like-решение, но работает
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору