Samba 4 a skupinová práva ke složkám

[windowsak]

Dobrý den,

informace o nové verzi Samba 4 a jejich schopnostech mě zaujaly, nainstaloval jsem ji teda přímo ze zdrojového kódu, provedl pomocí nastroje samba-tool základní "provisioning" domény, napojil dle tutoriálu na DNS server bind, tuším jmenuje se to DLZ.

Windows 7 jsem úspěšně připojil do domény, po instalaci nástrojů Remote Server Administration Tools jsem se připojil na doménový řadič na Sambe, jsem překvapen nástroje nehlasí chybu, uživatelé a skupiny jedou, funguje i  Group Policy, to se mi libi.

A teď kde jsem narazil, v souboru smb.conf mám v hranatých závorkách vyspecifikované sdílené prostředky (disky chcete-li), vypadá to nějak takto.
[data]
path = /home/samba4/data
read only = No

Není mi jasné jak na tomto sdíleném prostředku udělám omezení pro jednotlivé skupiny (čtení/zápis/nic), ve windows to řeším klasicky přes vlastnosti sdílené složky a zde nastavím oprávnění.
Jak toto řešit na Samba4? Musím to smb.conf přidavát k prostředku jednotlivé skupiny přes @<skupina> ? bude to propojené na skupiny v AD co jsem zde zadal?

A druhá věc co me zarazila, lze omezit velikost sdílené prostředku, tedy aby nebyl přes celý disk? Pokud bych budu mít více v /home/samba4/share1, share2, share3?
Napadlo mě, že bych mohl jednotlivé přostředny umístit na samostatné diskové oddíly o různych velikostech a tím je omezit, ale třeba jde nějak použit kvotý jako na windows, ale nevím zda-li linux to má nějak řešené (na oddílech je ext4 souborový systém).

Díky všem za případné drobné rady. Jirka

[Reklama]

[Filip Jirsák]

Samba „jenom“ mapuje volání Windows služeb do unixového systému. Až na výjimky tedy nijak neřeší práva, diskové kvóty atd. To vše je záležitost systému pod ní – uživatelé a skupiny mají taková práva a diskové kvóty, jaká mají v operačním systému. Na straně Linuxu/Unixu tedy nastavujete práva klasickými příkazy chmod, chown, chgrp a setfacl, případně je můžete nastavovat z Windows pomocí standardních GUI nástrojů.

[windowsak]

Děkuji za odpověd, zkusím to otestovat, teď jsem se dočetl, že je možné podle všeho opravdu nastavat práva ke sdíleným složkám přímo z windows (viz. tento odkaz http://linuxcostablanca.blogspot.cz/2012/02/samba4-shares.html), což by bylo víc něž vhodné, otestuji.

Jen mi ještě není jasné, jak mapovat uživatele z AD (ty přece v systému Linux neexistují).
Kvóty povolit na souborovém systému zda-se není problém (http://www.centos.org/docs/5/html/Deployment_Guide-en-US/ch-disk-quotas.html#s1-disk-quotas-configuring), lze aplikovat omezení kvót i na uživatele, kteří jsou založení pouze v AD databazi Samba?
Jde mi jednoduchou věc, tedy omezení velikosti sdíleného prostředku, např. 50GB, bez ohledu který uživatel ji zaplnil, tedy kvóty ne na uživatele ale hromadně na celý prostředek.
Jirka

[msmucr]

Kvóty v tomto případě jsou čistě záležitostí souborového systému. Samba se k nim chová transparentně a aplikuje je podle UID nebo GID daného uživatele, we Windows se pak kvóta uživatelům správně ukáže jako volné místo na sdílené složce. Takže to, co popisujete se dá řešit například tím, že všechny uživatele kteří mají mít aplikováno omezení přidáte do stejné skupiny a té pak přidělíte skupinovou kvótu.
V případě, že byste použil souborový systém XFS, otevírá se ještě další možnost - project quotas. Což je v podstatě kvóta aplikovaná na předem nadefinovaný adresář a vše v něm. Potom samozřejmě nezáleží na přistupujícím uživateli ani skupině.

Pokud si s tím budete hrát a pokoušet to rozběhnout na EXT3/4, vězte, že tam je víc formátů pro uložení informace o kvótě.. které se mezi sebou liší - použitím žurnálu (..quota vs ..jqouta) a možným rozsahem nastavované kvóty (vfsv0 má struktury s 32bit čísly -> max. nastavitelná kvóta 2TB a vsfv1 používá 64bit, kde toto omezení není). Takže pozor na to při čtení různých návodů na webu.
Pokud máte jádro 2.6.33 a vyšší nebo např. RHEL/Centos6 s odpovídajícím backportem, použijte volby ve fstabu -
usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv1

Nebo pak rovnou to XFS.. :-)

Michal

[anonym]

jeste pozor na to jaky fileserver modul pouzivate

samba4 obsahuje 2 ruzne fileservery, s3fs (pokracovatel samba3) a ntvfs (from-scratch psany fileserver pro potreby AD)

default volba od rc1 (nebo tak nekde) je s3fs, ten se potom chova velice podobne jako samba3 (prava jsou na filesystemu, pristup resi kernel)
alternativne lze zvolit ntvfs, ktery si veskere atributy uklada pomoci xattr, a veskera pristupova prava se kontroluji v software. vyhoda je ze lze ulozit a interpretovat vsechno co se da nastavit ve windows (coz s3fs neumi, protoze posix ACL jsou slabsi), nevyhoda je ze ntvfs je (udajne) mene stabilni, pomalejsi, a nektere veci zatim neumi (quoty)

co si pamatuju tak doporucene nasazeni bylo mit AD server s ntvfs (protoze GP si kontroluji prava na sysvolu, a obcas maji podivne pozadavky), a vedle toho samostatne FS server (nastaveny jako member server domeny) s s3fs

co se tyce mapovani AD uzivatelu do linuxu tak na to je sluzba winbind (a odpovidajici NSS a PAM moduly), coz je soucast samby

[Reklama]

[windowsak]

jeste pozor na to jaky fileserver modul pouzivate

samba4 obsahuje 2 ruzne fileservery, s3fs (pokracovatel samba3) a ntvfs (from-scratch psany fileserver pro potreby AD)

default volba od rc1 (nebo tak nekde) je s3fs, ten se potom chova velice podobne jako samba3 (prava jsou na filesystemu, pristup resi kernel)
alternativne lze zvolit ntvfs, ktery si veskere atributy uklada pomoci xattr, a veskera pristupova prava se kontroluji v software. vyhoda je ze lze ulozit a interpretovat vsechno co se da nastavit ve windows (coz s3fs neumi, protoze posix ACL jsou slabsi), nevyhoda je ze ntvfs je (udajne) mene stabilni, pomalejsi, a nektere veci zatim neumi (quoty)

co si pamatuju tak doporucene nasazeni bylo mit AD server s ntvfs (protoze GP si kontroluji prava na sysvolu, a obcas maji podivne pozadavky), a vedle toho samostatne FS server (nastaveny jako member server domeny) s s3fs

co se tyce mapovani AD uzivatelu do linuxu tak na to je sluzba winbind (a odpovidajici NSS a PAM moduly), coz je soucast samby

Zajimavé, děkuji za info, kompiloval jsem Samba 4.0.4 přímo ze zdrojového kóduv ./configure jsem žádné options neuváděl, takže předpokládám, že to beží aktuálne na s3fs, v smb.conf je i řádka.
server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate

Předpokládám, že pokud chci změnit na ntvfs tak bude nutná rekompilace, zkusím to.

[windowsak]

Dobrý den,

tak otestováno, Samba4 beží na S3FS, vypadá to vše moc hezky jen jsem narazil na zásadní problém, pokud se snažím změnit oprávnění na sdíleném prostředku (jednoduše přes vlastnosti složky a žáložku zabezpečení) dojde k chybě v dialogu se vrací přístup odepřen, jakoby Samba nedokázala změnit nastavení na fs pod ní (ext4).

Netušíte kde dělam chybu? Mám pocit, že to nějak souvisí s winbind, předpokládám, že soubory a složky na sdíleném disku by měli mít vlastníka, který je definován v AD nebo se pletu? Jak poznám, že winbind beží korektně? (musí se spustit při konfiguraci winbind program kinit ? do jsem neudělal, jinak v nssswich.conf mam uveden files a winbind) 

Děkuji všem linuxákum, Jirka

[windowsak]

Dobrý den,

tak otestováno, Samba4 beží na S3FS, vypadá to vše moc hezky jen jsem narazil na zásadní problém, pokud se snažím změnit oprávnění na sdíleném prostředku (jednoduše přes vlastnosti složky a žáložku zabezpečení) dojde k chybě v dialogu se vrací přístup odepřen, jakoby Samba nedokázala změnit nastavení na fs pod ní (ext4).

Netušíte kde dělam chybu? Mám pocit, že to nějak souvisí s winbind, předpokládám, že soubory a složky na sdíleném disku by měli mít vlastníka, který je definován v AD nebo se pletu? Jak poznám, že winbind beží korektně? (musí se spustit při konfiguraci winbind program kinit ? do jsem neudělal, jinak v nssswich.conf mam uveden files a winbind) 

Děkuji všem linuxákum, Jirka

Je možné problém je způsoben tím, že nemám na ext4 zapnuté nějaké options? (user_xattr,acl,barrier=1), zkusím to nastavit a uvidím, načetl jsem to v tomto dokumentu.
http://wiki.samba.org/index.php/Samba_4/OS_Requirements#File_System_Support

[windowsak]

Pomohlo, pokud by někdo narazil na stejný problém, pomohlo mi mountovat ext4 oddil s options user_xattr,acl,barrier=1.
Jiří

Dobrý den,

tak otestováno, Samba4 beží na S3FS, vypadá to vše moc hezky jen jsem narazil na zásadní problém, pokud se snažím změnit oprávnění na sdíleném prostředku (jednoduše přes vlastnosti složky a žáložku zabezpečení) dojde k chybě v dialogu se vrací přístup odepřen, jakoby Samba nedokázala změnit nastavení na fs pod ní (ext4).

Netušíte kde dělam chybu? Mám pocit, že to nějak souvisí s winbind, předpokládám, že soubory a složky na sdíleném disku by měli mít vlastníka, který je definován v AD nebo se pletu? Jak poznám, že winbind beží korektně? (musí se spustit při konfiguraci winbind program kinit ? do jsem neudělal, jinak v nssswich.conf mam uveden files a winbind) 

Děkuji všem linuxákum, Jirka

Je možné problém je způsoben tím, že nemám na ext4 zapnuté nějaké options? (user_xattr,acl,barrier=1), zkusím to nastavit a uvidím, načetl jsem to v tomto dokumentu.
http://wiki.samba.org/index.php/Samba_4/OS_Requirements#File_System_Support

[windowsak]

Dobrý den,

po čase se na Vás obracím opět o radu kudy kam, mám funkční doménu se Samba 4, příhlasování uživatelu (winxp, win7), sdílení, ldap, propojení na bind.

Bojuji aktuálně s tiskem, v síti mám printserver na který bych rád tisknul ze stanice, není mi uplně jasný postup přidání takového printserveru do samby.

Jaký spravný postup, musím tento printserver spojit s CUPS(printserver umi postscript/PCL), tedy v podstatě nainstalovat na server a pak vysdílet pomocí [print&] ovladače a nakonec samotnout tiskárnu přes prostředek [printers] nebo lze nějak pouze přeposlat požadavky na tisk přes sambu na print server?

Jirka

[Lol Phirae]

Zhruba - smb.conf:

Kód: [Vybrat]

[global]
     load printers = yes
     printing = cups

[printers]
     comment = All Printers
     path = /var/lib/samba4/spool
     browseable = Yes
     read only = No
     printable = Yes

[print$]
     comment = Printer Drivers
     path = /var/lib/samba4/print
     read only = No


Kód: [Vybrat]

mkdir -p /var/lib/samba4/print
mkdir -p /var/lib/samba4/spool
chmod 1777 /var/lib/samba4/spool

[windowsak]

Zhruba - smb.conf:

Kód: [Vybrat]

[global]
     load printers = yes
     printing = cups

[printers]
     comment = All Printers
     path = /var/lib/samba4/spool
     browseable = Yes
     read only = No
     printable = Yes

[print$]
     comment = Printer Drivers
     path = /var/lib/samba4/print
     read only = No


Kód: [Vybrat]

mkdir -p /var/lib/samba4/print
mkdir -p /var/lib/samba4/spool
chmod 1777 /var/lib/samba4/spool

Děkuji, vyzkouším tuto konfiguraci, rozumím tomu správně, že CUPS v tomto přopadě nepotřebuji, nebo předpokládáte, že ho již mám nastaven, není mi uplně jasné kam v tomto případě zadat IP adresu printserver? Nebo řešim na klientské stanici při instalaci ovladače?
Jirka

[Lol Phirae]

rozumím tomu správně, že CUPS v tomto přopadě nepotřebuji

Ne, nerozumíte. 

[mimi.vx]

spousta bludu

samba umoznuje sdileni s rizenim pristupu jak na urovni fs tak vlastni system

http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/AccessControls.html