Samba a ověřování přes Active Directory

[xtro xtro]

Opis: 8 serverov Win2003 v domene, 1ks server CentOS s beziacou Sambou. Konfiguracia a integracia CentOS pravdepodobne spravna v domene a ActiveDirectory, pretoze v AD vidim stroj, testy wbinfo -u, wbinfo -g krasne vypisu uzivatelov a skupiny AD, pridanie uzivatela cez konzolu pomocou net ads user add je taktiez bezproblemove (zobrazi sa v AD), net ads status tiez nehlasi problem, kinit spolahlivo overi lubovolneho uzivatela, takze mozem odvazne vyslovit kacirsku myslienku, ze server je spravne integrovany a vsetky sluzby bezia tak ako maju.
Problem: potrebujem aby bolo mozne na PC s OS WinXP Pro, ktory sa prihlasuje do domeny, namapovat a pripojit adresar zo servera na ktorom bezi CentOS prostrednictvom SAMBY tak, aby sa pristup uzivatela overil cez ActiveDirectory.
Neviem ci som zvolil spravny sposob, ale zatial som postupoval takto:
- vytvoril som na CentOS adresar ktory chcem mapovat, pridelil som mu prava 777
- v smb.conf som definoval sekciu pre zdielanie, urcil som cestu a potrebne parametre
Ako a kde v smb.conf definujem ze ktory uzivatel ma a ktory uzivatel nema prava na citanie, prezeranie obsahu adresara. Viem ze na sluzia parametre valid users, read list a podobne, ale ako prinutim SAMBU aby uzivatelov citala a overovala z ActiveDirectory?
Neviem ci som sa vyjadril zrozumitelne, ale v principe mi ide o to, ze ak mam v AD zavedenych uzivatelov user1, user2 ako nastavim v SAMBE, ze user1 moze zapisovat do adresara /home/smb/miesto1 a user2 moze len adresar iba prezerat.
Bol by som velmi povdacny za akekolvek nakopnutie.
Dakujem.

[Reklama]

[TKL]

valid users = @"DOMAIN+Domain Users"       
admin users = @"DOMAIN+Domain Admins"

se zavináčem na začátku je to skupina v AD, bez zavináče je to uživatel v AD.

[noone]

my to mame bez tech " " jinak to mezi domenou a user/groupnamem je podle direktivy
winbind separator = +

[noone]

+ jeste se stejnym zapisem  jako valid users /cteni/ direktiva write list =

[patko]

Dakujem, uz mi je to jasnejsie, ale mam aj tak problem, pretoze sa mi nedari namapovat si prislusne zdielanie. Server vidim, vidim aj zdielanie, ale nedari sa mi nan prihlasit a primapovat si ho (vo WinXP Pro ktore je v domene XTRO.SK) a je uplne jedno ci sa snazim primapovat jednotku prihlasenim sa na SAMBA server cez IP alebo domenove meno, vysledok je rovnaky.

v smb.conf mam:

Kód: [Vybrat]

[janko]
comment = Domovský adresár
path = /home/samba/janko
public = yes
browseable = yes
writable = yes
valid users = @"XTRO.SK/user"

v logu var/log/samba/pc_1

Kód: [Vybrat]

[2010/03/15 14:53:20, 0] smbd/service.c:make_connection(1200)
  pc_1 (192.168.3.67) couldn't find service jankNeviem preco vypisuje couldn't find service jank ked je v smb.conf janko ale mozno to nema s tym nic spolocne.
Neviem ci sa nahodou nemylim, ale sucastou overovania by mal byt aj nsswitch.conf:

Kód: [Vybrat]

passwd:files winbind
shadow:files winbind
group:files winbind
hosts:dns files
bootparams:files
ethers:files
netmasks:files
networks:files winbind
protocols:files winbind
rpc:files winbind
services:files winbind
automount:files
aliases:files    Kde by mohol byt este problem? Dakujem

[Reklama]

[patko]

Sorry, stacilo si len poriadne precitat.
Uz som sa zapisal do 1. rocnika ZS

[koFolik]

Dobrý den,
je tedy k nalezení nějaký přesný postup. Google používám, ale ne moc z valným úspěchem.

Nejsem až takový odborník na sambu.

[patrik]

Tato konfigurace neni zcela trivialni.  Je potreba nakonfigurovat spravne kerberos a v nem REALMS a KDC.

Nasledne je nutne rozhcodit winbind na to, aby se spravne mapovali windows uzivatele na unix uzivatele.

Konfigurak /etc/samba/smb.conf musi byt s security=ads a spravne mapovani winbind.  Popsal jsem to nejdulezitejsi na co je potreba si dat pozor.

Vice se da najit na netu napr. http://wiki.samba.org/index.php/Samba_&_Active_Directory

[had]

čau. ja to vyřešil pomoci suse 10.x kde sem to všechno naklikal - rozchozené to bylo za 10 minut. a pak na ostrém systému (centos) už sem jen opisoval správné volby v konfiguráku... trohcu lenost.

[Peter S.]

pre autentifikaciu cez AD používam toto nastavenie:

[global]
 security = server
 workgroup =  "Domain Users"
 password server = aaa.bbb.com ccc.ddd.com

[koFolik]

Hm tak jsem se zaseknul na tom, že neznám správný zápis v konfiguráku pro vytvoření r/w slozky pro jednoho konkrétního uživatele. Nemáte někdo vzorovej?