Fórum Root.cz
Hlavní témata => Server => Téma založeno: xtro xtro 11. 03. 2010, 12:27:37
-
Opis: 8 serverov Win2003 v domene, 1ks server CentOS s beziacou Sambou. Konfiguracia a integracia CentOS pravdepodobne spravna v domene a ActiveDirectory, pretoze v AD vidim stroj, testy wbinfo -u, wbinfo -g krasne vypisu uzivatelov a skupiny AD, pridanie uzivatela cez konzolu pomocou net ads user add je taktiez bezproblemove (zobrazi sa v AD), net ads status tiez nehlasi problem, kinit spolahlivo overi lubovolneho uzivatela, takze mozem odvazne vyslovit kacirsku myslienku, ze server je spravne integrovany a vsetky sluzby bezia tak ako maju.
Problem: potrebujem aby bolo mozne na PC s OS WinXP Pro, ktory sa prihlasuje do domeny, namapovat a pripojit adresar zo servera na ktorom bezi CentOS prostrednictvom SAMBY tak, aby sa pristup uzivatela overil cez ActiveDirectory.
Neviem ci som zvolil spravny sposob, ale zatial som postupoval takto:
- vytvoril som na CentOS adresar ktory chcem mapovat, pridelil som mu prava 777
- v smb.conf som definoval sekciu pre zdielanie, urcil som cestu a potrebne parametre
Ako a kde v smb.conf definujem ze ktory uzivatel ma a ktory uzivatel nema prava na citanie, prezeranie obsahu adresara. Viem ze na sluzia parametre valid users, read list a podobne, ale ako prinutim SAMBU aby uzivatelov citala a overovala z ActiveDirectory?
Neviem ci som sa vyjadril zrozumitelne, ale v principe mi ide o to, ze ak mam v AD zavedenych uzivatelov user1, user2 ako nastavim v SAMBE, ze user1 moze zapisovat do adresara /home/smb/miesto1 a user2 moze len adresar iba prezerat.
Bol by som velmi povdacny za akekolvek nakopnutie.
Dakujem.
-
valid users = @"DOMAIN+Domain Users"
admin users = @"DOMAIN+Domain Admins"
se zavináčem na začátku je to skupina v AD, bez zavináče je to uživatel v AD.
-
my to mame bez tech " " jinak to mezi domenou a user/groupnamem je podle direktivy
winbind separator = +
-
+ jeste se stejnym zapisem jako valid users /cteni/ direktiva write list =
-
Dakujem, uz mi je to jasnejsie, ale mam aj tak problem, pretoze sa mi nedari namapovat si prislusne zdielanie. Server vidim, vidim aj zdielanie, ale nedari sa mi nan prihlasit a primapovat si ho (vo WinXP Pro ktore je v domene XTRO.SK) a je uplne jedno ci sa snazim primapovat jednotku prihlasenim sa na SAMBA server cez IP alebo domenove meno, vysledok je rovnaky.
v smb.conf mam:
[janko]
comment = Domovský adresár
path = /home/samba/janko
public = yes
browseable = yes
writable = yes
valid users = @"XTRO.SK/user"
v logu var/log/samba/pc_1
[2010/03/15 14:53:20, 0] smbd/service.c:make_connection(1200)
pc_1 (192.168.3.67) couldn't find service jankNeviem preco vypisuje couldn't find service jank ked je v smb.conf janko ale mozno to nema s tym nic spolocne.
Neviem ci sa nahodou nemylim, ale sucastou overovania by mal byt aj nsswitch.conf:
passwd:files winbind
shadow:files winbind
group:files winbind
hosts:dns files
bootparams:files
ethers:files
netmasks:files
networks:files winbind
protocols:files winbind
rpc:files winbind
services:files winbind
automount:files
aliases:files Kde by mohol byt este problem? Dakujem
-
Sorry, stacilo si len poriadne precitat.
Uz som sa zapisal do 1. rocnika ZS
-
Dobrý den,
je tedy k nalezení nějaký přesný postup. Google používám, ale ne moc z valným úspěchem.
Nejsem až takový odborník na sambu.
-
Tato konfigurace neni zcela trivialni. Je potreba nakonfigurovat spravne kerberos a v nem REALMS a KDC.
Nasledne je nutne rozhcodit winbind na to, aby se spravne mapovali windows uzivatele na unix uzivatele.
Konfigurak /etc/samba/smb.conf musi byt s security=ads a spravne mapovani winbind. Popsal jsem to nejdulezitejsi na co je potreba si dat pozor.
Vice se da najit na netu napr. http://wiki.samba.org/index.php/Samba_&_Active_Directory
-
čau. ja to vyřešil pomoci suse 10.x kde sem to všechno naklikal - rozchozené to bylo za 10 minut. a pak na ostrém systému (centos) už sem jen opisoval správné volby v konfiguráku... trohcu lenost. :)
-
pre autentifikaciu cez AD používam toto nastavenie:
[global]
security = server
workgroup = "Domain Users"
password server = aaa.bbb.com ccc.ddd.com
-
Hm tak jsem se zaseknul na tom, že neznám správný zápis v konfiguráku pro vytvoření r/w slozky pro jednoho konkrétního uživatele. Nemáte někdo vzorovej?