LINUX.ORG.RU
решено ФорумAdmin

Квоты для групп MS AD на samba сервере

 , ,


0

1

Доброго времени суток! Есть сервер samba в сети windows ad. С помощью него раздаются личные каталоги пользователям, на которые действуют квоты. Квоты настраивал с помощью quotatool:

quotatool -u <user> -b -l <XXXMB> /dev/<device>
Понадобилось сделать каталоги отделов тоже с квотированием. И здесь возникла проблема. Квоты на группы active directory не устанавливаются. Попытался сделать это так же, как и для пользователей:
quotatool -g <group> -b -l <XXXMB> /dev/<device>
Но квоты не действуют, и в repquota ничего нет. Монтирование устройств для каталогов делаю одинаково:
UUID=... /media/Users ext4 _netdev,errors=remount-ro,acl,user_xattr,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 0 2
UUID=... /media/Departaments ext4 _netdev,errors=remount-ro,acl,user_xattr,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 0 2

Версия самбы то какая ? Потдержка вложенных групп на самбе включена ? ( параметр winbind nested groups=yes) И попробуй поставь параметр - winbind enum groups=yes .

maximnik0 ★★ ()
Ответ на: комментарий от maximnik0
sudo quotacheck -avug -f
quotacheck: Scanning /dev/sdc1 [/media/Users] done
quotacheck: Checked 285 directories and 83 files
quotacheck: Scanning /dev/sdb1 [/media/Departaments] done
quotacheck: Checked 49 directories and 3 files
speed_vm ()
Ответ на: комментарий от speed_vm

Как проверить факт того, что группа, в которую входи пользователь, получивший доступ к ресурсу, «воспринимается» сервисом. Т.е. я имею в виду, что есть переменная PAM_USER, которая принимает значение имени пользователя, который получает доступ к ресурсу. Есть ли аналогичные переменные для групп?

speed_vm ()
Ответ на: комментарий от speed_vm

Ну тогда скорее всего не пофикшенный в этой версии глюк самбы -не экспортирует группы (видел с решение для 3 версии ,но там геморрой с экспортом в LDAP ) .Попробуй создай локальные группы ,самое главное чтоб uuid и имя группы совпадали с самбововскими .

maximnik0 ★★ ()
Ответ на: комментарий от speed_vm

Как проверить факт того, что группа, в которую входи пользователь, >получивший доступ к ресурсу, «воспринимается» сервисом.

? net groupmap list

maximnik0 ★★ ()
Ответ на: комментарий от speed_vm

На самом деле квоты работают. Я указал в smb.conf параметр ресурса force group = <group> и выставил квоту в 10Мб. Файл более 10Мб не записался (ошибка «закончилось место»). Однако размер ресурса, который видит пользователь, равен размеру самого квотируемого раздела, т.е. пользователь видит свой ресурс <отдел такой-то> размером 2Тб, но не может записать на него больше выделенной квоты 10Мб. Как побороть сейю хрень?

speed_vm ()
Ответ на: комментарий от maximnik0

хотя в 4 может и поменять могли поведение,чтобы не светить учётные записи .

anonymous ()
Ответ на: комментарий от speed_vm

Если я в smb.conf указываю параметр force group = @«group» (в кавычках), то ресурс становится недоступен. Если кавычки убираю (force group = @group), то ресурс становится доступен. У меня есть группы в AD, имена которых содержат пробелы. Как быть с такими группами, если их в кавычки не заключать?

speed_vm ()
Ответ на: комментарий от speed_vm

Нужно заключить в кавычки название группы вместе с символом «@».

Всё заработало. Обобщаю. Предположим, название группы <group users>

1. Определить квоту группе:

quotatool -g "<group users>" -b -l <XXXMB> /dev/<device>
2. Назначить группу, которой принадлежит каталог, который будет ресурсом подразделения:
chown -R :"<group users>" /mounted/directory
3. Добавить в smb.conf у ресурса группы строку:
force group = "@<group users>"

Благодарю всех за ответы!

speed_vm ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.