LINUX.ORG.RU
ФорумAdmin

Файловый сервер на убунту 9.04 в сети win


0

0

Доброго дня! В первую очередь - извините если тема поднималась, не нашел, кроме того, хотелось бы получить нечто вроде пошагового хауту, ибо делается все это в первый раз.. Преамбула такая - не по вине сильной необходимости, скорее уж потому, что майкрософты заколебали лицензиями и звонками (это при том, что организация пытается лицензироваться полностью и выполняет их требования) возникло желание создать в виндовой сети под управлением домена на вин2003 АД файловый сервер под управлением линукс. В качестве дистрибутива была выбрана убунта, можно сказать по личным предпочтениям. Итак теперь основная часть. Пока эксперименты ставятся на виртуальной сети, установлен контроллер домена, рабочая станция под винХР и контроллер домена. Установлена серверная убунту 9.04 с установленным пакетом самба (в момент загрузки выбор набора программ для файлового сервера) Настройка шары в /etc/samba/smb.conf выглядит стандартно, при серфе локальной сети в группе, отражающей имя домена находится и наш файловый сервер. Если не менять smb.conf при попытке войти на него просит пару логин\пароль. security = user. При добавлении блока [data] войти на сервер можно, а вот на саму шару уже нет. Пока это все, что удалось получить. Был бы очень признателен за подробное руководство к действию, повторюсь - занимаюсь поднятием сервера на линуксе впервые. Одно из самых обязательных требований - аутентификация через АД, то есть на манер виндов - никаких дополнительных запросов логина\пароля и раздача прав на расшареные ресурсы по группам безопасности из АД Жду ответа как соловей лета! Спасибо!

Гугли по security=ads. вкратце так: правишь smb.conf,ставишь heimdal, настраиваешь krb5.conf, вводишь в домен и будет тебе «никаких дополнительных запросов логина\пароля»

mzv ()

Возник еще один вопросец.. когда вся шайтан машина заработает - есть ли способ переноса самой файлопомойки с виндового хранилища на новое, линуксовое, с сохранением разрешений? Или все заново придется переписывать для каждого каталога ручками? Структура просто очень большая и это может стать серьезной проблемой..

SidSpears ()

И снова возник вопрос. /etc/krb5.conf настроен вроде корректно, выполнение kinit admin@VIRT.LOCAL дает запрос на пароль и возвращает ошибку о расхождении во времени. Время привел к одинаковому руками, и кроме того в виндах в политике керберос настроил максимально допустимое значение расхождения на 60 минут. Однако все повторяется.. clock skew too great while getting initial credentials - собственно ошибка. Гугление показало только советы привести время в единому виду, но, я так наивно подозреваю, здесь дело в чем то другом. Оговорюсь - kinit откликается только на существующего пользователя, то есть можно предположить что запросы на него приходят, саму ошибку вываливает после проверки пароля. Соответственно с заведомо неверным паролем дает следующее Preauthentication failed while getting initial credentials. Может у кого есть какие мысли почему может появляться ошибка о разном времени там, где ее быть вроде и не должно? Заранее спасибо!

SidSpears ()
Ответ на: комментарий от SidSpears

Вопрос снят с повестки дня. Как не странно вышло такое: Руками хоть милисекунду в милисекунду часы поправь - работать не будет, однако, если застопорить демона ntpd и провести синхронизацию вручную - kinit дает положительный результат. klist выдал сообщение о полученном тикете. Ура

SidSpears ()
Ответ на: комментарий от SidSpears

Похоже на финишную прямую, сервер спокойно виден из виндовзной сети, видны расшареные ресурсы. Вопрос пожалуй самый глупый - как теперь выдать различные права на содержащиеся файлы и папки юзверям из домена?

SidSpears ()
Ответ на: комментарий от SidSpears

в /etc/fstab для нужного раздела ставишь опцию acl
/dev/sda2 /var/shared ext3 default,noatime,acl 0 1
Перемонтируешь
# mount /var/shared -o remount,acl
и ставишь нужные разрешения командами
#setfacl -R -m u:DOMAIN/User:rw /var/shared
Просмотр разрешений
# getfacl /var/shared


P.S. А вот вопрос переноса с уже существующего сервера меня тоже весьма интересует, так что пока в поиске.

Atlant ★★★★★ ()
Ответ на: комментарий от Atlant

Спасибо за совет! сСушай, единственный момент что-то не уяснил - то есть для шары нужно делать отдельный раздел на винте? И нужны ли какие-нибудь поползновения после этого в конфиге самбы? И совсем уж как для глупого: /var/shared/user будет наследовать разрешения от /var/shared? И наоборот, возможна ли ситуация, при которой /var/shared/user доступен скажем группе users, тогда как /var/shared доступен всем? Есть ли какое нибудь GUI под это дело? (Просто любопытства ради, ибо сервак все равно пытаюсь поднять без иксов))

SidSpears ()

У меня вопрос немного с другой стороны. С доменными пользователями все ОК, ресурсы линуксовой машины видны, и ничего лишнего не спрашивается. А вот с самой убунты получить доступ в домен не могу, вроде как не находит контроллера домена и соответственно не получает «список ресурсов». В обычные workgroup заходит и список ресурсов показывается(например smbtree). В resolv.conf контроллер домена прописан. nslookup работает без проблем. Где смотреть?

yago ()
Ответ на: комментарий от yago

kinit admin_name@DOMEN.LOCAL потом klist покажет выданные тикеты. Если сего не происходит значит что-то не так в настройке керброса

А теперь вопрос о выдаче прав: 1. Настроил керберос, самбу, винбинд. 2. Смонтировал раздел в /share с параметром ACL 3. В самбе в разделе описания шары ввел параметр nt acl support = yes 4. После перезапуска самбы шара видна в сети 5. хауту с samba.org говорит следующее - выдача разрешений происходит через виндовый проводник. Пробую, выдает. Однако - присутствуют создатель владелец и другие не нужные пользователи\группы. Некоторые нельзя убрать. Разрешения выставляются странновато, мягко говоря. У родительской папки server\share стоит полный доступ от группы доменных администраторов, он спокойно наследуется на вложенные. Но при попытке во вложенных каталогах изменять разрешения начинается что-то непонятное, галки скидываются с разрешений, которые есть у родительского каталога (кажется), но, я так понял, что действовать не перестают. Вобщем, кто может что прояснить - очень прошу

SidSpears ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.