Gå til innhold

Linux+samba og AD

joachimsandvik

Av joachimsandvik
i Operativsystemer

Anbefalte innlegg

joachimsandvik

joachimsandvik

Skrevet
Skrevet

Jeg driver og ser litt på mulighetene for å få opp en debian filserver. Har fått installert samba og fått meldt den inn i domenet med AD autentisering.

 

Problemet jeg har fått er at jeg får opp mappene fint med ad autentisering, men jeg får ikke til å sette rettigheter på filene eller kataloger under det opprinnelige sharet fra min windows client.

 

Noen som vet hva som er galt?

 

Eventuellt om det finnes en egen NAS appliance jeg kan laste ned som er godt integrert med AD hadde det vært flott.

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
joachimsandvik

joachimsandvik

Skrevet
  • Forfatter
Skrevet
Kort og greit så kan det forklares på denne måten: Filsystemene i Linux har ikke de samme mulighetene for å sette rettigheter som windows har mot NTFS.

7275678[/snapback]

 

Vår netapp filer vet jeg har denne muligheten, men der heter lisensen CIFS og den er såpass dyr at vi har valgt å ikke gå for den ennå.

 

Jeg leser jo mange plasser at folk bruker samba som filserver i AD domener, er det slik å forstå at de da kjører uten windows administrerte rettigheter på filene?

Lenke til kommentar
Steffan

Steffan

Skrevet
Skrevet
Kort og greit så kan det forklares på denne måten: Filsystemene i Linux har ikke de samme mulighetene for å sette rettigheter som windows har mot NTFS.

7275678[/snapback]

 

Vår netapp filer vet jeg har denne muligheten, men der heter lisensen CIFS og den er såpass dyr at vi har valgt å ikke gå for den ennå.

 

Jeg leser jo mange plasser at folk bruker samba som filserver i AD domener, er det slik å forstå at de da kjører uten windows administrerte rettigheter på filene?

7281273[/snapback]

 

Nei. Vi kjører samba med AD integrerte rettigheter på filene. Samba serveren må bli en del av domenet og kjøre autentiseringen gjennom en domenekontroller.

 

Mer info her: Samba-3 Server Types and Security Modes :thumbup:

Lenke til kommentar
joachimsandvik

joachimsandvik

Skrevet
  • Forfatter
Skrevet (endret)
Kort og greit så kan det forklares på denne måten: Filsystemene i Linux har ikke de samme mulighetene for å sette rettigheter som windows har mot NTFS.

7275678[/snapback]

 

Vår netapp filer vet jeg har denne muligheten, men der heter lisensen CIFS og den er såpass dyr at vi har valgt å ikke gå for den ennå.

 

Jeg leser jo mange plasser at folk bruker samba som filserver i AD domener, er det slik å forstå at de da kjører uten windows administrerte rettigheter på filene?

7281273[/snapback]

 

Nei. Vi kjører samba med AD integrerte rettigheter på filene. Samba serveren må bli en del av domenet og kjøre autentiseringen gjennom en domenekontroller.

 

Mer info her: Samba-3 Server Types and Security Modes :thumbup:

7281478[/snapback]

 

 

 

Har selv forøkt å sette opp en debian boks med ADS autentisering, og jeg har fått meldt den inn i AD og kan kjøre query mot AD og få ut brukere ol.. Får også koblet meg opp mot shares og lagret filer ol.. Men høyre-klikker jeg og forsøker å sette htfs rettigheter får jeg bare problemer.

 

Her er vår smb.conf fil:

 

[global]

workgroup = NT4domenenavn

realm = DOMENE.INT

netbios name = servernavn

security = ADS

password server = domenecontroller

idmap uid = 10000-20000

idmap gid = 10000-20000

winbind use default domain = Yes

 

[data]

path = /test

username = adminbruker

read only = No

 

 

Rettigheter på test katalogen

 

drwxrwxrwx 2 root root 1.0K 2006-11-07 17:15 test

 

Har du noen tips til hva som er feil tar jeg gjerne litt innspill..

Endret av joachimsandvik
Lenke til kommentar
Steffan

Steffan

Skrevet
Skrevet
Kort og greit så kan det forklares på denne måten: Filsystemene i Linux har ikke de samme mulighetene for å sette rettigheter som windows har mot NTFS.

7275678[/snapback]

 

Vår netapp filer vet jeg har denne muligheten, men der heter lisensen CIFS og den er såpass dyr at vi har valgt å ikke gå for den ennå.

 

Jeg leser jo mange plasser at folk bruker samba som filserver i AD domener, er det slik å forstå at de da kjører uten windows administrerte rettigheter på filene?

7281273[/snapback]

 

Nei. Vi kjører samba med AD integrerte rettigheter på filene. Samba serveren må bli en del av domenet og kjøre autentiseringen gjennom en domenekontroller.

 

Mer info her: Samba-3 Server Types and Security Modes :thumbup:

7281478[/snapback]

 

 

 

Har selv forøkt å sette opp en debian boks med ADS autentisering, og jeg har fått meldt den inn i AD og kan kjøre query mot AD og få ut brukere ol.. Får også koblet meg opp mot shares og lagret filer ol.. Men høyre-klikker jeg og forsøker å sette htfs rettigheter får jeg bare problemer.

 

Her er vår smb.conf fil:

 

[global]

workgroup = NT4domenenavn

realm = DOMENE.INT

netbios name = servernavn

security = ADS

password server = domenecontroller

idmap uid = 10000-20000

idmap gid = 10000-20000

winbind use default domain = Yes

 

[data]

path = /test

username = adminbruker

read only = No

 

 

Rettigheter på test katalogen

 

drwxrwxrwx 2 root root 1.0K 2006-11-07 17:15 test

 

Har du noen tips til hva som er feil tar jeg gjerne litt innspill..

7281575[/snapback]

 

Tja.. Kanskje definere en adminbruker på test katalogen?

 

adminuser = "domain\admin"

Lenke til kommentar
cp-nilsen

cp-nilsen

Skrevet
Skrevet (endret)

Jeg holder også på med dette for tiden, og har en tråd om dette i linux-forumet.

Du kan endre rettighetene til brukere/grupper som er definert fra før fra windowsklienten. Har f.eks. domain users lesetilgang kan du også gi dem skrivetilgang. Men du kan ikke legge til gruppen "gruppe" og si de også skal ha lesetilgang. Dette er fordi man i linux kun har en eier og en eiergruppe av en fil, mens man i windows kan definere rettigheter til flere brukere og grupper.

 

Den eneste måten jeg får til å gjøre det på er å gi alle brukere, f.eks. domain users rettigheter på filnivå, og heller begrense tilgangen gjennom samba.

 

Edit: sett f.eks.

write list = DOMENE+Administrator, @DOMENE+Domain admins

read list = @DOMENE+domain users

på sharet

Endret av cp-nilsen
Lenke til kommentar
Steffan

Steffan

Skrevet
Skrevet
Jeg holder også på med dette for tiden, og har en tråd om dette i linux-forumet.

Du kan endre rettighetene til brukere/grupper som er definert fra før fra windowsklienten. Har f.eks. domain users lesetilgang kan du også gi dem skrivetilgang. Men du kan ikke legge til gruppen "gruppe" og si de også skal ha lesetilgang. Dette er fordi man i linux kun har en eier og en eiergruppe av en fil, mens man i windows kan definere rettigheter til flere brukere og grupper.

 

Den eneste måten jeg får til å gjøre det på er å gi alle brukere, f.eks. domain users rettigheter på filnivå, og heller begrense tilgangen gjennom samba.

 

Edit: sett f.eks.

write list = DOMENE+Administrator, @DOMENE+Domain admins

read list = @DOMENE+domain users

på sharet

7282255[/snapback]

 

Jeg har gitt flere AD grupper tilgang til et samba-share. Jeg kan fint legge til og fjerne grupper. Disse gruppene er ikke nevnt i smb.conf

 

Har jeg misforstått deg?

Lenke til kommentar
cp-nilsen

cp-nilsen

Skrevet
Skrevet
Jeg holder også på med dette for tiden, og har en tråd om dette i linux-forumet.

Du kan endre rettighetene til brukere/grupper som er definert fra før fra windowsklienten. Har f.eks. domain users lesetilgang kan du også gi dem skrivetilgang. Men du kan ikke legge til gruppen "gruppe" og si de også skal ha lesetilgang. Dette er fordi man i linux kun har en eier og en eiergruppe av en fil, mens man i windows kan definere rettigheter til flere brukere og grupper.

 

Den eneste måten jeg får til å gjøre det på er å gi alle brukere, f.eks. domain users rettigheter på filnivå, og heller begrense tilgangen gjennom samba.

 

Edit: sett f.eks.

write list = DOMENE+Administrator, @DOMENE+Domain admins

read list = @DOMENE+domain users

på sharet

7282255[/snapback]

 

Jeg har gitt flere AD grupper tilgang til et samba-share. Jeg kan fint legge til og fjerne grupper. Disse gruppene er ikke nevnt i smb.conf

 

Har jeg misforstått deg?

7282363[/snapback]

Tror kanskje vi misforstår hverandre ja... jeg forstår det som at når trådstarter prøver å gi flere grupper tilgang fra windows-klienten, så prøver den da å gi flere grupper tilgang på filnivå, og dette går jo ikke, da man kun har en eier og en eiergruppe. (Ihvertfall som standard)

 

Hvis du klarer å gi grupper tilgang til et sambas-share fra en windows klient, så må du ha satt opp noe spesielt...

 

(Jeg kan forøvrig også gi en (merk: kun EN) AD-gruppe tilgang, men det må jeg gjøre på linux-maskinen. "chown bruker:DOMENE+gruppe fil" funker jo fint)

Lenke til kommentar
Steffan

Steffan

Skrevet
Skrevet (endret)
Hvis du klarer å gi grupper tilgang til et sambas-share fra en windows klient, så må du ha satt opp noe spesielt...

 

(Jeg kan forøvrig også gi en (merk: kun EN) AD-gruppe tilgang, men det må jeg gjøre på linux-maskinen. "chown bruker:DOMENE+gruppe fil" funker jo fint)

 

ok rart.. trodde ikke vi hadde noe hokus pokus.. har du editert nsswitch.conf for å gi winbindd tilgang til passwd og groups?

 

smb.conf:

 

[global]

 

workgroup = xxx

 

idmap uid = 10000-65000

idmap gid = 10000-65000

template shell = /bin/false

password server = xxx

realm = xxx

security = ADS

 

dns proxy = no

 

 

winbind cache time = 10

winbind enum users = yes

winbind enum groups = yes

winbind use default domain = yes

allow trusted domains = yes

 

hosts allow = xxx.xxx.xxx.

 

log file = /var/log/samba/smbd.log

max log size = 500

 

[share]

comment = share

path = /mnt/sdc/share

browseable = yes

writeable = yes

create mask = 0700

directory mask = 0700

directory security mask = 0700

admin users = "XXX\administrator", "XXX\Domain Admins"

Endret av Steffan
Lenke til kommentar
cp-nilsen

cp-nilsen

Skrevet
Skrevet (endret)

Hmm.. men når du gir tilgang fra windows-maskinen, blir det da satt på filnivå? Eller på samba på en eller annen måte?

Hva er outputen av "ls -l /mnt/sdc/share"?

 

For det vil jo være to typer begrensninger i et slikt oppsett:

- På filnivå

- Begrensning i samba

 

Det hjelper ikke at rettighetene er satt til 777 hvis ingen slipper gjennom

samba.

Og det hjelper ikke om alle slipper gjennom samba hvis eier av mappen er root:root, og rettighetene er 700..

 

Og ja, jeg har editert nsswitch, og smb.conf er nogenlunde lik ja...

 

Edit: hvilken kerberos-implementasjon bruker du forresten? Jeg bruker heimdal..

Endret av cp-nilsen
Lenke til kommentar
Steffan

Steffan

Skrevet
Skrevet

Samba spør vel AD hvilke tilganger som gjelder. Er vel det som er meningen med winbindd og kerberos?

 

Output av ls -l gir 700 - root - Domain Users

 

Hvis jeg fysisk fra windows klienten går inn å endrer eier, så blir min AD bruker satt som eier fysisk på filsystemet, group blir root. Fremdeles 700. Hvis jeg gir andre AD brukere tilgang til filen så står jeg fremdeles som eier og 700.

 

Det at andre kan aksessere filen selv om permission settings er root:root 700 er vel en følge av at vi har konfigurert winbindd i nsswitch.conf

 

Hvilken versjon.. hm.. hvordan ser jeg det? Kjører RH Enterprise Linux 4.

 

Jaja.. jeg vet ikke helt hvordan alt dette fungerer, men det virker iallefall. :)

Lenke til kommentar
Steffan

Steffan

Skrevet
Skrevet
Postet du hele smb.conf lenger oppe? Gidder du poste nsswitch.conf også?

Jeg prøvde med smb.conf så og si helt lik din, men det fungerer fremdeles ikke å gi brukere tilgang fra windows...

7295937[/snapback]

 

Send meg en pm med mailen din så skal jeg sende filene til deg fra jobb i morgen.

Lenke til kommentar
RuS512

RuS512

Skrevet
Skrevet

Grunnen til at det går å endre filrettighetene fra windows, og de alikevel ikke vises i linux, er vanligvis at det kjøres ACL på filsystemet. Det siste året har mange linuxdistroer begynt å aktivere ACL som standard. En enkel test av dette er å i linux gå inn på en av filene eller mappene som er delt i samba, og som du vet at du har diverse rettigheter på, og så kjøre getfacl <filnavn>

Lenke til kommentar
cp-nilsen

cp-nilsen

Skrevet
Skrevet

Når jeg remonterte med acl kunne jeg fint gi flere brukere rettigheter med setfacl, men jeg kan fremdeles ikke gjøre noe fra windowsmaskinen. Og selv om jeg gir brukeren "DOMENE\bruker" tilgang med setfacl, så ser jeg ikke brukeren under security på windowsmaskinen...

 

derfor vi har Windows :)

Eller snu på det - det faktum at vi bruker windows her er grunnen til at vi må styre med dette tullet :p

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...