Samba a uživatelé mimo systém

Samba a uživatelé mimo systém
« kdy: 10. 10. 2012, 18:35:53 »
Ahoj, mam problem s uzivateli. Nainstaloval jsem si sambu a potreboval bych do ni pridat uzivatele bez toho abych je pridal primo do debianu. Budu mit pak system plny uzivatelu, vim ze to asi nicemu nevadi, ale radeji bych je tam nemel. Kdyby to neslo tak treba pres Mysql - kdyby jste meli nejaky dobry howto. Dekuji
« Poslední změna: 10. 10. 2012, 22:01:40 od Petr Krčmář »


Re:Samba a uživatelé mimo systém
« Odpověď #1 kdy: 11. 10. 2012, 00:03:32 »
http://wiki.ubuntu.cz/samba
Uživatel musí v systému existovat. Jestli je nastaveno PAM na ověřování vůči MySQL nebo klasicky v souboru je jedno. Systémový uživatel (pro sambu) nemusí mít ani heslo,ani domovskou složku.. V tý wiki je na to i příklad.

Martin Jakl

Re:Samba a uživatelé mimo systém
« Odpověď #2 kdy: 11. 10. 2012, 08:56:40 »
Nevím tedy, jestli je to přesně to co chcete, ale já mám uživatele v LDAP a mám Samba PDC, který pracuje s tím LDAPem. Takže uživatele přidám jenom do LDAP a pak když se přihlásí na jakýkoliv stroj v síti, tak se jim jenom automaticky udělá home. Jinak nic dalšího se nikde vytvářet nemusí.

Pavel 'TIGER' Růžička

Re:Samba a uživatelé mimo systém
« Odpověď #3 kdy: 11. 10. 2012, 09:37:00 »
Také je možnost používat sambu ve virtuálu (resp. jiný systém se sambou), ale to zase záleží na výkonu daného stroje.

alfi

  • ****
  • 329
    • Zobrazit profil
    • E-mail
Re:Samba a uživatelé mimo systém
« Odpověď #4 kdy: 11. 10. 2012, 14:00:27 »
Nevím tedy, jestli je to přesně to co chcete, ale já mám uživatele v LDAP a mám Samba PDC, který pracuje s tím LDAPem. Takže uživatele přidám jenom do LDAP a pak když se přihlásí na jakýkoliv stroj v síti, tak se jim jenom automaticky udělá home. Jinak nic dalšího se nikde vytvářet nemusí.
nezkoušel jsem to, ale není to náhodou tak, že ona samba vůči LDAPu musí mít nastavený LDAP i pro účty přes PAM? :-)
funguje to, jen to nastavení je třeba udělat na dvou místech..


Martin Jakl

Re:Samba a uživatelé mimo systém
« Odpověď #5 kdy: 11. 10. 2012, 14:40:08 »
Nevím tedy, jestli je to přesně to co chcete, ale já mám uživatele v LDAP a mám Samba PDC, který pracuje s tím LDAPem. Takže uživatele přidám jenom do LDAP a pak když se přihlásí na jakýkoliv stroj v síti, tak se jim jenom automaticky udělá home. Jinak nic dalšího se nikde vytvářet nemusí.
nezkoušel jsem to, ale není to náhodou tak, že ona samba vůči LDAPu musí mít nastavený LDAP i pro účty přes PAM? :-)
funguje to, jen to nastavení je třeba udělat na dvou místech..
Ne, ten LDAP je důležitý jenom pro stroj se Samba PDC, ostatní o něm nemusí vůbec vědět. A jenom pro přihlášení na stroj s PDC se musí použít PAM pro LDAP, protože PDC se sám proti sobě authentikovat neumí.

alfi

  • ****
  • 329
    • Zobrazit profil
    • E-mail
Re:Samba a uživatelé mimo systém
« Odpověď #6 kdy: 11. 10. 2012, 16:34:58 »
Ne, ten LDAP je důležitý jenom pro stroj se Samba PDC, ostatní o něm nemusí vůbec vědět. A jenom pro přihlášení na stroj s PDC se musí použít PAM pro LDAP, protože PDC se sám proti sobě authentikovat neumí.
jasně, tak to bylo myšleno - na stroji s PDC musí(?) být nastaven LDAP i pro PAM - aby samba mohla fungovat na samostatných userid pro každého uživatele. aneb uživatel musí stejně existovat, byť jen databázově v LDAPu..

M

Re:Samba a uživatelé mimo systém
« Odpověď #7 kdy: 19. 10. 2012, 12:47:15 »
Další varianta je, že uživatelé existují jen v Sambě a do systému se načítá username-UID-SID mapování ze samby pomocí winbind. Pokud mám ten samba server jeden, tak asi vhodnější než ldap, ten se hodí pro síť s vícero servery, ať mám jednotné mapování v celé síti (a i zde lze udělat, že místo LDAPu je databáze v PDC a ostatní samby/linuxy si to čtou z ní winbindem).
Takže v smb.conf musí být třeba něco jako (samba 3.0):
   winbind enum users = Yes
   winbind enum groups = Yes
   winbind use default domain = false
   winbind nested groups = Yes
   winbind separator = +
   idmap backend = rid:"DOMENA=30000-50000"
   idmap uid = 30000-50000
   idmap gid = 30000-50000

pro samba 3.5+:
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind expand groups = 2
        winbind nested groups = yes
        winbind use default domain = yes
        winbind separator = +

        idmap backend = rid
        idmap uid = 400001-5000000
        idmap gid = 400001-5000000

        idmap config: backend = rid
        idmap config: readonly = yes
        idmap config: range = 300001-4000000

        idmap config DOMENA:default = yes
        idmap config DOMENA:backend = rid
        idmap config DOMENA:readonly = yes
        idmap config DOMENA:range = 30001-300000


Vedle smbd démona pustit i winbindd a do /etc/nsswitch.conf dát:
passwd:     files winbind
shadow:     files
group:      files winbind