forum.opennet.ru

Составление сообщения

Исходное сообщение

"Права доступа к ресурсам для AD групп"
Отправлено KomaLex, 30-Апр-10 09:44

вот задача у меня сделать файловый сервер и соответственно разграничить доступ по правам.
В общем то все работает, но есть одно но. Не получается давать доступ по группам.
Вернее получается, но можно указывать только первую группу пользователя, которая имеет GID в системе. А это неудобно, а вернее даже бесполезно. Потому что у всех пользователей домена она одна и та же.
вот сама шара:

[ITO]
        comment = Home Directories
        path = /usr/usrdata/ito
        valid users = @PROC\programmers
        admin users = PROC\komal
        write list = PROC\komal
        read only = No
        create mask = 0777
        directory mask = 0777
        inherit permissions = Yes
        inherit owner = Yes
        vfs objects = recycle, full_audit
        recycle:versions = yes
        recycle:keeptree = yes
        recycle:maxsize = 104851000
        recycle:exclude = *.tmp | *.TMP | ~$*
        recycle:repository = /usr/usrdata/recycles
        full_audit:priority = INFO
        full_audit:facility = LOCAL5
        full_audit:failure = write rename unlink mkdir rmdir
        full_audit:success = write rename unlink mkdir rmdir
        full_audit:prefix = %m|%U

Так вот, загвоздка в параметре         valid users = @PROC\programmers
Вернее в его значении. Вот например вывод команды id

uid=10000(komal) gid=10014(пользователи домена) groups=10014(пользователи домена),
10011(администраторы предприятия),10013(администраторы домена),
10010(администраторы схемы),10025(oko),10027(programmers),
10030(consultant-users),
10031(garant-users),10044(kladmins),10055(mailallproc),10057(allmail)

Так вот, если я пишу
valid users = @"PROC\пользователи домена"

то доступ есть и все нормально. А вот если я пишу любую другую группу, не первую, например:
valid users = @"PROC\programmers"
то доступа к это шаре нет.
Скажите как обойти это. Что бы он мапил не только первую группу, а все группы пользователя.
И еще как видно из конфига включены acls и на фс тоже все включено и вроде бы можно из винды редактировать шары админ юзеру. И они редактируются. Но вот беда, там тоже можно добавлять только пользователей или вот эту первую группу пользователи домена. Остальные он как бы не находит. Не пойму где собака порылась. Вот сам конфиг: ничего особеного в нем нет.

[global]
        dos charset = cp866
        unix charset = koi8-r
        display charset = koi8-r
        workgroup = DOMAIN
        realm = DOMAIN.LOCAL
        server string = Samba Server mx
        interfaces = 192.168.1.1/23
        security = ADS
        auth methods = winbind
        password server = pdc.domain.local bdc.domain.local
        passdb backend = tdbsam
        log level = 0 vfs:1
        log file = /var/log/samba/log.%m
        max log size = 50000
        os level = 33
        preferred master = Yes
        local master = No
        domain master = Yes
        dns proxy = No
        wins server = 192.168.1.251
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        winbind refresh tickets = Yes
        inherit acls = Yes
        hosts allow = 192.168.0.0/23, 127.
        map acl inherit = Yes
        case sensitive = No

Исходное сообщение
"Права доступа к ресурсам для AD групп" Отправлено KomaLex, 30-Апр-10 09:44
вот задача у меня сделать файловый сервер и соответственно разграничить доступ по правам. В общем то все работает, но есть одно но. Не получается давать доступ по группам. Вернее получается, но можно указывать только первую группу пользователя, которая имеет GID в системе. А это неудобно, а вернее даже бесполезно. Потому что у всех пользователей домена она одна и та же. вот сама шара: [ITO] comment = Home Directories path = /usr/usrdata/ito valid users = @PROC\programmers admin users = PROC\komal write list = PROC\komal read only = No create mask = 0777 directory mask = 0777 inherit permissions = Yes inherit owner = Yes vfs objects = recycle, full_audit recycle:versions = yes recycle:keeptree = yes recycle:maxsize = 104851000 recycle:exclude = .tmp \| .TMP \| ~$* recycle:repository = /usr/usrdata/recycles full_audit:priority = INFO full_audit:facility = LOCAL5 full_audit:failure = write rename unlink mkdir rmdir full_audit:success = write rename unlink mkdir rmdir full_audit:prefix = %m\|%U Так вот, загвоздка в параметре valid users = @PROC\programmers Вернее в его значении. Вот например вывод команды id uid=10000(komal) gid=10014(пользователи домена) groups=10014(пользователи домена), 10011(администраторы предприятия),10013(администраторы домена), 10010(администраторы схемы),10025(oko),10027(programmers), 10030(consultant-users), 10031(garant-users),10044(kladmins),10055(mailallproc),10057(allmail) Так вот, если я пишу valid users = @"PROC\пользователи домена" то доступ есть и все нормально. А вот если я пишу любую другую группу, не первую, например: valid users = @"PROC\programmers" то доступа к это шаре нет. Скажите как обойти это. Что бы он мапил не только первую группу, а все группы пользователя. И еще как видно из конфига включены acls и на фс тоже все включено и вроде бы можно из винды редактировать шары админ юзеру. И они редактируются. Но вот беда, там тоже можно добавлять только пользователей или вот эту первую группу пользователи домена. Остальные он как бы не находит. Не пойму где собака порылась. Вот сам конфиг: ничего особеного в нем нет. [global] dos charset = cp866 unix charset = koi8-r display charset = koi8-r workgroup = DOMAIN realm = DOMAIN.LOCAL server string = Samba Server mx interfaces = 192.168.1.1/23 security = ADS auth methods = winbind password server = pdc.domain.local bdc.domain.local passdb backend = tdbsam log level = 0 vfs:1 log file = /var/log/samba/log.%m max log size = 50000 os level = 33 preferred master = Yes local master = No domain master = Yes dns proxy = No wins server = 192.168.1.251 idmap uid = 10000-20000 idmap gid = 10000-20000 winbind enum users = Yes winbind enum groups = Yes winbind use default domain = Yes winbind refresh tickets = Yes inherit acls = Yes hosts allow = 192.168.0.0/23, 127. map acl inherit = Yes case sensitive = No

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> вот задача у меня сделать файловый сервер и соответственно разграничить доступ по > правам. > В общем то все работает, но есть одно но. Не получается давать > доступ по группам. > Вернее получается, но можно указывать только первую группу пользователя, которая имеет > GID в системе. А это неудобно, а вернее даже бесполезно. Потому > что у всех пользователей домена она одна и та же. > вот сама шара: > [code] > [ITO] > comment = Home Directories > path = /usr/usrdata/ito > valid users = @PROC\programmers > admin users = PROC\komal > write list = PROC\komal > read only = No > create mask = 0777 > directory mask = 0777 > inherit permissions = Yes > inherit owner = Yes > vfs objects = recycle, > full_audit > recycle:versions = yes > recycle:keeptree = yes > recycle:maxsize = 104851000 > recycle:exclude = .tmp \| > .TMP \| ~$* > recycle:repository = /usr/usrdata/recycles > full_audit:priority = INFO > full_audit:facility = LOCAL5 > full_audit:failure = write rename > unlink mkdir rmdir > full_audit:success = write rename > unlink mkdir rmdir > full_audit:prefix = %m\|%U > [/code] > Так вот, загвоздка в параметре > valid users = @PROC\programmers > Вернее в его значении. Вот например вывод команды id > [code] > uid=10000(komal) gid=10014(пользователи домена) groups=10014(пользователи домена), > 10011(администраторы предприятия),10013(администраторы домена), > 10010(администраторы схемы),10025(oko),10027(programmers), > 10030(consultant-users), > 10031(garant-users),10044(kladmins),10055(mailallproc),10057(allmail) > [/code] > Так вот, если я пишу > [code]valid users = @"PROC\пользователи домена"[/code] > то доступ есть и все нормально. А вот если я пишу любую > другую группу, не первую, например: [code]valid users = @"PROC\programmers"[/code] то > доступа к это шаре нет. > Скажите как обойти это. Что бы он мапил не только первую группу, > а все группы пользователя. > И еще как видно из конфига включены acls и на фс тоже > все включено и вроде бы можно из винды редактировать шары админ > юзеру. И они редактируются. Но вот беда, там тоже можно добавлять > только пользователей или вот эту первую группу пользователи домена. Остальные он > как бы не находит. Не пойму где собака порылась. Вот сам > конфиг: ничего особеного в нем нет. > [code] > [global] > dos charset = cp866 > unix charset = koi8-r > display charset = koi8-r > workgroup = DOMAIN > realm = DOMAIN.LOCAL > server string = Samba > Server mx > interfaces = 192.168.1.1/23 > security = ADS > auth methods = winbind > password server = pdc.domain.local > bdc.domain.local > passdb backend = tdbsam > log level = 0 > vfs:1 > log file = /var/log/samba/log.%m > max log size = > 50000 > os level = 33 > preferred master = Yes > local master = No > domain master = Yes > dns proxy = No > wins server = 192.168.1.251 > idmap uid = 10000-20000 > idmap gid = 10000-20000 > winbind enum users = > Yes > winbind enum groups = > Yes > winbind use default domain > = Yes > winbind refresh tickets = > Yes > inherit acls = Yes > hosts allow = 192.168.0.0/23, > 127. > map acl inherit = > Yes > case sensitive = No > [/code]
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру