LINUX.ORG.RU
ФорумAdmin

SMB, NFS теория

 ,


0

1

Не очень понятная вся эта теория. К примеру возьмем smb. Есть линукс хост, который введен в домен, расшарим папку и сделаем доменную авторизацию строкой в конфиге самбы, в данном случае AD Domain:
#================= Global Settings ====================

[global]
workgroup = ADEXAMPLE
security = ads
realm = ADEXAMPLE.COM

(пожалуйста, поправьте если я не прав или этого не достаточно).
Далее моменты, которые я не могу понять:
1) Как быть в случае с ipa доменом? Какой конфиг должен быть в том случае?
2) Допустим, все хорошо и мы расшарили папку по smb, далее авторизация проходит, но как в таком случае раздать права на папку?
2) 'valid users = user1@ADEXAMPLE' или 'valid users = user1' в случае с доменом?
3) Допустим, все хорошо и мы расшарили папку по smb, далее авторизация проходит, но как в таком случае раздать права на папку?
К примеру в конфиге есть строка 'valid users = user1,user2,user3', и расшарена папка '/smbtest'. Как, к примеру, дать права user1 только чтение, а user3 чтение и запись?
Помогут ли тут стандартные rwx права при том, что пользователя на системе нет (авторизация-то доменная), как это реализовать?
4) NFS, та же самая проблема, керберос авторизация, на клиенте и на сервере есть файл /etc/krb5.keytab. в /etc/exports что-то вида «/nfsshare 192.168.0.100(rw,sec=krb5p)».
Вот авторизовались, примонтировали файл на удаленном сервере, и нет прав. Каким образом раздавать права на такую шару и как? Или на все что я примонтировал таким образом на машину 192.168.0.100 будут именно права rw?
5) Допустим, при конфиге из пункта 4, внутри папки '/nfsshare' есть папка '/nfsshare/user1', каким образом раздать права так, чтобы только пользовать user1 (причем авторизация идет по керберос) имел права rw на данную папку, а остальные пользователя даже права на просмотр не имели?

Извиняюсь на сумбур, в голове полная каша и уже несколько недель не могу придти в себя. Спрашивать мне не у кого, учусь всему сам по книжках, простите если пишу очевидные глупости, очень надеюсь на вашу помощь

2) 'valid users = user1@ADEXAMPLE' или 'valid users = user1' в случае с доменом? так и будет, но лучше сразу настраивай idmap/nss, бери AD-шные группы и рули права ими.

3) Допустим, все хорошо и мы расшарили папку по smb, далее авторизация проходит, но как в таком случае раздать права на папку? К примеру в конфиге есть строка 'valid users = user1,user2,user3', и расшарена папка '/smbtest'. Как, к примеру, дать права user1 только чтение, а user3 чтение и запись? man ACL. Если что, редактируются с вендового хоста в том числе.

4/5) керберос занимается только удостоверением что юзер - действительно тот самый, он не отвечает на вопрос «можно ли ему туда-то». Опять же смотри acl применительно к nfs.

anonymous ()
Ответ на: комментарий от anonymous

Спасибо, теперь все стало немного понятнее. Я думал что можно как-то без acl обойтись в данном случае.

Kronick ()
Ответ на: комментарий от andrew667

Вообще-то его и юзаю. Там отлично все описано, проблема только в том, что если сделать шаг в сторону от дефолтного примера - то появляются непонятные моменты.

Kronick ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.