Fórum Root.cz
Hlavní témata => Server => Téma založeno: Joohanek 10. 10. 2012, 18:35:53
-
Ahoj, mam problem s uzivateli. Nainstaloval jsem si sambu a potreboval bych do ni pridat uzivatele bez toho abych je pridal primo do debianu. Budu mit pak system plny uzivatelu, vim ze to asi nicemu nevadi, ale radeji bych je tam nemel. Kdyby to neslo tak treba pres Mysql - kdyby jste meli nejaky dobry howto. Dekuji
-
http://wiki.ubuntu.cz/samba (http://wiki.ubuntu.cz/samba)
Uživatel musí v systému existovat. Jestli je nastaveno PAM na ověřování vůči MySQL nebo klasicky v souboru je jedno. Systémový uživatel (pro sambu) nemusí mít ani heslo,ani domovskou složku.. V tý wiki je na to i příklad.
-
Nevím tedy, jestli je to přesně to co chcete, ale já mám uživatele v LDAP a mám Samba PDC, který pracuje s tím LDAPem. Takže uživatele přidám jenom do LDAP a pak když se přihlásí na jakýkoliv stroj v síti, tak se jim jenom automaticky udělá home. Jinak nic dalšího se nikde vytvářet nemusí.
-
Také je možnost používat sambu ve virtuálu (resp. jiný systém se sambou), ale to zase záleží na výkonu daného stroje.
-
Nevím tedy, jestli je to přesně to co chcete, ale já mám uživatele v LDAP a mám Samba PDC, který pracuje s tím LDAPem. Takže uživatele přidám jenom do LDAP a pak když se přihlásí na jakýkoliv stroj v síti, tak se jim jenom automaticky udělá home. Jinak nic dalšího se nikde vytvářet nemusí.
nezkoušel jsem to, ale není to náhodou tak, že ona samba vůči LDAPu musí mít nastavený LDAP i pro účty přes PAM? :-)
funguje to, jen to nastavení je třeba udělat na dvou místech..
-
Nevím tedy, jestli je to přesně to co chcete, ale já mám uživatele v LDAP a mám Samba PDC, který pracuje s tím LDAPem. Takže uživatele přidám jenom do LDAP a pak když se přihlásí na jakýkoliv stroj v síti, tak se jim jenom automaticky udělá home. Jinak nic dalšího se nikde vytvářet nemusí.
nezkoušel jsem to, ale není to náhodou tak, že ona samba vůči LDAPu musí mít nastavený LDAP i pro účty přes PAM? :-)
funguje to, jen to nastavení je třeba udělat na dvou místech..
Ne, ten LDAP je důležitý jenom pro stroj se Samba PDC, ostatní o něm nemusí vůbec vědět. A jenom pro přihlášení na stroj s PDC se musí použít PAM pro LDAP, protože PDC se sám proti sobě authentikovat neumí.
-
Ne, ten LDAP je důležitý jenom pro stroj se Samba PDC, ostatní o něm nemusí vůbec vědět. A jenom pro přihlášení na stroj s PDC se musí použít PAM pro LDAP, protože PDC se sám proti sobě authentikovat neumí.
jasně, tak to bylo myšleno - na stroji s PDC musí(?) být nastaven LDAP i pro PAM - aby samba mohla fungovat na samostatných userid pro každého uživatele. aneb uživatel musí stejně existovat, byť jen databázově v LDAPu..
-
Další varianta je, že uživatelé existují jen v Sambě a do systému se načítá username-UID-SID mapování ze samby pomocí winbind. Pokud mám ten samba server jeden, tak asi vhodnější než ldap, ten se hodí pro síť s vícero servery, ať mám jednotné mapování v celé síti (a i zde lze udělat, že místo LDAPu je databáze v PDC a ostatní samby/linuxy si to čtou z ní winbindem).
Takže v smb.conf musí být třeba něco jako (samba 3.0):
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = false
winbind nested groups = Yes
winbind separator = +
idmap backend = rid:"DOMENA=30000-50000"
idmap uid = 30000-50000
idmap gid = 30000-50000
pro samba 3.5+:
winbind enum users = Yes
winbind enum groups = Yes
winbind expand groups = 2
winbind nested groups = yes
winbind use default domain = yes
winbind separator = +
idmap backend = rid
idmap uid = 400001-5000000
idmap gid = 400001-5000000
idmap config: backend = rid
idmap config: readonly = yes
idmap config: range = 300001-4000000
idmap config DOMENA:default = yes
idmap config DOMENA:backend = rid
idmap config DOMENA:readonly = yes
idmap config DOMENA:range = 30001-300000
Vedle smbd démona pustit i winbindd a do /etc/nsswitch.conf dát:
passwd: files winbind
shadow: files
group: files winbind