Большое спасибо за серию видео про дружба самбы с АД. Прочитал большое количество гайдов и манов, испробовал кучу версий настроек. С вашим описанием все завелось с первого раза
Спасибо, все заработало!Хотелось бы продолжения по тонкой настройке для директорий как в винде! Доступно все объяснили по настройке параметров самбы. Это лучшие видеоуроки.
кирилл, вы видимо забыли, а мы ждем :))) последний пункт остался раздача прав средствами samba. и еще вы могли бы рассказать, что такое winbindd и чем отличается от sssd
+Александр Петров скоро будет, хочу ACL прибавить. А по последнему вопросу - просто сделай группой владельцев пользователей домена и дай им права соответствующие.
На centos почему-то ругается на конфиг самбы - Unknown parameter encountered "auth methods", решения так и не нашёл - пришлось закомментировать. Также не удалось победить id %domain_user% - хотя via wbinfo видит и юзеров, и группы.
Спасибо.Отличные видео. Вопрос: Если добавил новую группу в домен или пользователя перекину в другую, то по id user_name не показывает групп. Возможно есть параметр синхронизации с AD ? Или что-то я не учел.Группы видит только те, которые были на момент ввода сервера в домен. wbinfo -g - видит новые группы. Когда делаю setfacl -m g:test:rwx test/ - ругается на синтаксис, если делаю на старых пользователей все отрабатывает. В чем может быть проблема ?
Kirill, а вы никогда не пробовали настроить резервное копирование файлового сервера скажем на Яндекс.Диск. Было бы интересно. Для маленького офиса было бы актуально
Что делать если пользователи нормально видно, а группы нет? Даже с вашей командой из начала видео в smb.conf :( Это может быть как то связано с тем что у меня Win server 2003?
Я запутался. Зачем под просто шару, т.е. обменник, создавать отдельно домен, выделять под это убунту сервер и цеплять его к другому домену? Почему просто физический жёсткий диск не подключить и не сделать его под обменник?
+ThePositivemann чего-то теперь я запутался)) У нас была рядовая практическая задача, которую часто приходится делать админам: в домен Windows прикрутить файловый сервера Samba. Ее и решаем. Причин может быть куча для этого, например экономия на лицензии Windows для отдельного файлового сервера (на одном сервере не будем же держать все роли, все медленно встанет). То есть домен у нас один - виндовый, и мы в него вогнали самбу. Могли не вгонять и оставить ее за доменом с ее локальными пользователями для авторизации.
Спасибо, ваши уроки помогли разобраться с самбой. Заметил, она все еще не может работать корректно с sticky bit через directory mask, просто дописывая нолик впереди. Можно его наследовать через inherit permissions, но тогда не отрабатывает create mask. Придется курить ACL, для того чтобы только владелец мог удалить файл :) UPD: Почитал о ACL и не нашел как это реализовать там. Это вообще возможно с помощью них сделать?
+Андрей Котов Мне на практике никогда не пригождалось это свойство, я обычно раздавал права вручную с наследованием, так чтобы пользователи там сами своей структуры создавать не могли. Но как дойдем до ACL попробую и скажу вам)
+Kirill Semaev Действительно, у него довольно узкое применение. Мне просто не хочется, чтобы кто-то разозлившись на руководство, смог удалить все файлы в рамках своей группы, но пока работал с ACL понял, как можно правильно организовать группы, чтобы уменьшить масштаб бедствия (этой гибкости как раз не хватало). И конечно никто не отменяет бэкапы. Теперь интересно реализовать AGDLP подход для доступа и посмотреть на его поведение в самбе :) UPD: Еще немного подумал и понял, что можно спокойно наследовать sticky bit через inherit permissions и не обращать внимание на неработающий create mask, выставляя все права через ACL включив в них еще дефолтные права, для наследования. Остается только разобраться с подводными камнями самбы в качестве контроллера домена связав его с BIND и DHCP. P.S.: В очередной раз спасибо, вы вдохновляете на развитие :)
Решил проблему с ID следующим образом: idmap config *:backend = tdb idmap config *:range = 1000000-1999999 idmap config MYDOMAIN:backend = rid idmap config MYDOMAIN:range = 10000-999999 где MYDOMAIN имя домена.
Ууу.. Что же ты забросил то канал. Вот мне бы сейчас тоже самое, только с переносом шары и каталогов из винды, в шару на Ubuntu Server. В моем случае, корпоративный обменник. Была проблема, что после переноса, пользователи не могли ничего делать в каталогах, могли только в корневом каталоге что то менять, создавать и.т.д. Потом я что-то сделал, удалил все каталоги, перенес снова, и все, вроде заработало. А как, хрен его пойми. На сколько я знаю, права не переносятся с Винды на шары Linux. Вот хрен знает, как оно заработало.
Большое спасибо за серию видео про дружба самбы с АД. Прочитал большое количество гайдов и манов, испробовал кучу версий настроек.
С вашим описанием все завелось с первого раза
Pavel Poleshak Я вот сам каждый раз мучился раньше когда надо было файловый сервер создавать на линуксе. Голову сломаешь прежде чем заведешь)
Спасибо, все заработало!Хотелось бы продолжения по тонкой настройке для директорий как в винде!
Доступно все объяснили по настройке параметров самбы.
Это лучшие видеоуроки.
Спасибо за быстрый ответ !!!
На работе записиваю обучение по нашей системе для новых сотрудников )))
Жду DNS, DHCP и IPTABLES.
кирилл, вы видимо забыли, а мы ждем :))) последний пункт остался раздача прав средствами samba.
и еще вы могли бы рассказать, что такое winbindd и чем отличается от sssd
Черт, а мы не раздали разве?) Надо после каникул не забыть доделать...
спасибо вам за всЁ я с вашей помощью тоже смог побороть Самбу
Здравствуйте. Столкнулся с такой проблемой. Почему-то в windows не отображаются разрешения на директории в расшаренном ресурсе. С файлами все ок.
Спасибо за видео-мануал, очень понятно и четко. Девятого видео еще нет? Как дать запись пользователям домена, а не только владельцу?
+Александр Петров скоро будет, хочу ACL прибавить. А по последнему вопросу - просто сделай группой владельцев пользователей домена и дай им права соответствующие.
+Kirill Semaev так и сделал, sudo chmod -R 777 directory/ и все заработало!
+Kirill Semaev Кстати, вы не сталкивались с вопросом поднятия Raid на уже установленном ubuntu server?
На centos почему-то ругается на конфиг самбы - Unknown parameter encountered "auth methods", решения так и не нашёл - пришлось закомментировать.
Также не удалось победить id %domain_user% - хотя via wbinfo видит и юзеров, и группы.
Спасибо.Отличные видео.
Вопрос: Если добавил новую группу в домен или пользователя перекину в другую, то по id user_name не показывает групп. Возможно есть параметр синхронизации с AD ? Или что-то я не учел.Группы видит только те, которые были на момент ввода сервера в домен.
wbinfo -g - видит новые группы.
Когда делаю setfacl -m g:test:rwx test/ - ругается на синтаксис, если делаю на старых пользователей все отрабатывает.
В чем может быть проблема ?
Kirill, а вы никогда не пробовали настроить резервное копирование файлового сервера скажем на Яндекс.Диск. Было бы интересно. Для маленького офиса было бы актуально
не пробовал, у меня по крону тар и все был
Кирилл, а как принято централизованное управление на linux организовывать? (если допустим все сервера и рабочие станции на linux)
Ansible идеален для этого
Что делать если пользователи нормально видно, а группы нет? Даже с вашей командой из начала видео в smb.conf :( Это может быть как то связано с тем что у меня Win server 2003?
Круто спс=)
Отличные видео! А как сделать доступ к паке в share определенным пользователям не состоящим в одной группе?
+Ruslan Khairullin да там же, в самбе, через запятую их. Главное на уровне файловой системе дать тогда доступ, например, пользователям домена всем.
Спасибо за курс! Хотелось бы еще прикрутить FTP с авторизацией через AD, не могу понять как это сделать, поможете советом?
Давайте я его тоже запланирую в практику и там покажу
+Kirill Semaev Буду очень благодарен!
а где продолжение по самбе ?
Я запутался. Зачем под просто шару, т.е. обменник, создавать отдельно домен, выделять под это убунту сервер и цеплять его к другому домену? Почему просто физический жёсткий диск не подключить и не сделать его под обменник?
+ThePositivemann чего-то теперь я запутался)) У нас была рядовая практическая задача, которую часто приходится делать админам: в домен Windows прикрутить файловый сервера Samba. Ее и решаем. Причин может быть куча для этого, например экономия на лицензии Windows для отдельного файлового сервера (на одном сервере не будем же держать все роли, все медленно встанет).
То есть домен у нас один - виндовый, и мы в него вогнали самбу. Могли не вгонять и оставить ее за доменом с ее локальными пользователями для авторизации.
Kirill Semaev Я думал самба будет и доменом рулить, и обменником, поэтому для меня было странно, когда мы начали подключать её уже к какому-то домену.
+ThePositivemann не-не, домены на самбе это отдельная гигантская история
Спасибо, ваши уроки помогли разобраться с самбой. Заметил, она все еще не может работать корректно с sticky bit через directory mask, просто дописывая нолик впереди. Можно его наследовать через inherit permissions, но тогда не отрабатывает create mask. Придется курить ACL, для того чтобы только владелец мог удалить файл :)
UPD: Почитал о ACL и не нашел как это реализовать там. Это вообще возможно с помощью них сделать?
+Андрей Котов Мне на практике никогда не пригождалось это свойство, я обычно раздавал права вручную с наследованием, так чтобы пользователи там сами своей структуры создавать не могли. Но как дойдем до ACL попробую и скажу вам)
+Kirill Semaev Действительно, у него довольно узкое применение. Мне просто не хочется, чтобы кто-то разозлившись на руководство, смог удалить все файлы в рамках своей группы, но пока работал с ACL понял, как можно правильно организовать группы, чтобы уменьшить масштаб бедствия (этой гибкости как раз не хватало). И конечно никто не отменяет бэкапы.
Теперь интересно реализовать AGDLP подход для доступа и посмотреть на его поведение в самбе :)
UPD: Еще немного подумал и понял, что можно спокойно наследовать sticky bit через inherit permissions и не обращать внимание на неработающий create mask, выставляя все права через ACL включив в них еще дефолтные права, для наследования.
Остается только разобраться с подводными камнями самбы в качестве контроллера домена связав его с BIND и DHCP.
P.S.: В очередной раз спасибо, вы вдохновляете на развитие :)
Привет ! Кирилл, ты мог бы посаветавать софт для записи экрана ? Делать ролики как ты делаешь ?
Спасибо за рание ))))
Misha Yufit Привет! Camtasia Studio, на рутрекере можешь взять. Чего писать будешь? может я тебя порекомендую кому)
Решил проблему с ID следующим образом:
idmap config *:backend = tdb
idmap config *:range = 1000000-1999999
idmap config MYDOMAIN:backend = rid
idmap config MYDOMAIN:range = 10000-999999
где MYDOMAIN имя домена.
Что-то не помогает((
Ууу.. Что же ты забросил то канал. Вот мне бы сейчас тоже самое, только с переносом шары и каталогов из винды, в шару на Ubuntu Server. В моем случае, корпоративный обменник. Была проблема, что после переноса, пользователи не могли ничего делать в каталогах, могли только в корневом каталоге что то менять, создавать и.т.д. Потом я что-то сделал, удалил все каталоги, перенес снова, и все, вроде заработало. А как, хрен его пойми. На сколько я знаю, права не переносятся с Винды на шары Linux. Вот хрен знает, как оно заработало.