Widows Рулез Форева!!!?

Ты совершенн прав!

Widows Рулез Форева!!!

вот настроил так робит и не жужит заменил им НТевый сервак

# Global parameters
[global]
dos charset = CP866
unix charset = LOCALE
workgroup = URALRAB
realm = URALRAB.LAN
server string = File Server
security = ADS
username map = /etc/samba/smbusers
log level = 0
syslog = 0
max log size = 50
ldap ssl = no
idmap uid = 10000-65000
idmap gid = 10000-65000
template primary group = "Domain Users"
template shell = /bin/bash
passdb backend = tdbsam
interfaces = eth0, eth1
bind interfaces only = Yes
hosts allow = 192.168.110., 127.
strict locking = No
time server = Yes
allow trusted domains = No
os level = 0
preferred master = No
local master = No
domain master = No
dns proxy = No
wins server = 192.168.110.1
map acl inherit = Yes

load printers = No
# printing = cups
# printcap name = CUPS
# printer admin = '@DOMAIN\Domain Admins'

admin users = '@DOMAIN\Domain Admins'

[photos$]
path = /public/photo
valid users = '@DOMAIN\Domain Admins', @DOMAIN\share_photo
read only = No
create mask = 0644


# /etc/nsswitch.conf
group: compat winbind
passwd: compat winbind

# /etc/krb5.conf
[libdefaults]
ticket_lifetime = 24000
default_realm = domain.LAN
default_tgs_enctypes = des-cbc-crc des-cbc-md5
default_tkt_enctypes = des-cbc-crc des-cbc-md5
forwardable = true
proxiable = true
dns_lookup_realm = true
dns_lookup_kdc = true


[realms]
domain.LAN = {
default_domain = domain.lan
}

[domain_realm]
.domain.lan = domain.LAN
domain.lan = domain.LAN

[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false


шара на шаре фотос созданы отдельные папки для каждого фотографа, фотограф может менять, удалять и тд только то что у него в папке, админы доменя могут менять, удалять и тд у кого. для этог8о достаточно
раздать права на папки локально, можно еще конешно прикрутить NT acl и менять права на файлы могуть только пользователи указанные в "admin users". Вроде все. Будут вопросы пиши.
PS
есть чюдесная книжка в примерах сам распечатывал ее и в переплет отдавал ща как манулачка лежит))) http://us4.samba.org/samba/docs/Samba-Guide.pdf

мальца не сходится надо так =)

workgroup = DOMAIN
realm = DOMAIN.LAN

млин спешил наделел ошибок)))

# /etc/krb5.conf
[libdefaults]
ticket_lifetime = 24000
default_realm = DOMAIN.LAN
default_tgs_enctypes = des-cbc-crc des-cbc-md5
default_tkt_enctypes = des-cbc-crc des-cbc-md5
forwardable = true
proxiable = true
dns_lookup_realm = true
dns_lookup_kdc = true


[realms]
DOMAIN.LAN = {
default_domain = domain.lan
}

[domain_realm]
.domain.lan = DOMAIN.LAN
domain.lan = DOMAIN.LAN

[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false

что-то я до конца не понял, юзер сможет изменить права доступа на созданный им объект? просто через редактор ACL?

Дело в том, что у меня в конторе, на файл сервере есть одна шара, все её мапят как диск, в этой шаре куча папок, права на которые раздаются на основании прав, определенных на файловой системе, ACLем... т.е. на одну папку могут иметь доступ несколько групп из домена, и причем, кто-то только на чтение, а кто-то и на запись... И, при этом, юзер, может быть сразу в нескольких группах, и соответственно, иметь разные доступы в разные подпапки на шаре...

вот нужно повторить такое же, и при этом, учесть, что юзер не должен менять права доступа на созданные им объекты (редактировать ACL)...

Скажи, дарагой, тебе занятся нечем?

Есть Windows Server, делает то, что тебе нужно и без проблем. Так какого полового органа ты лезешь на самбу?

Как какого? контора громадная! вот-вот придут за лицензиями, вот и решили на свободный софт перелезть... Впереди еще задача Опенлдапа и КОРПОРАТИВНОЙ электронной почты...

Делается ето просто 1. Надо обойтись без ADS, иначе придется держать машину с контролером домена ADS на Win2000 server- следовательно поднимаем домен в стиле NT4 security = user local master = yes domain master = yes preferred master = yes 2. для раздачи прав на папки и файлы применяем ЛОКАЛЬНУЮ ПОЛИТИКУ БЕЗОПАСНОСТИ для файловой системы самой linux: для этого ставим файловую систему SGI XFS или ядро 2.6.XX для поддержки ACL на ext3,да и самба должна быть собрана или взята с поддержкой ACL (SuSE,ASP,ALT) и пишем в [global] hide unreadable = yes получаешь сокрытие файлов и каталогов в стиле cервера Novell(жаль наследования нет), затем командой setfacl развешиваем индивидуальные и групповые права на каталоги и файлы, а командой getfacl смотрим что развешали

на шарах пишем create mode = 0666 directory mode = 0777 если user смог попасть внутрь каталога он будет создавать файлы и каталоги видимые всем кто тоже смог попасть в этот каталог. (а попадают только те, кому видим каталог) (можно конечно и пожестче 0600 и 07000)

а вот это- бонус от самбы-сетевая корзина масдайка тут отдыхает, нету у нее сетевой корзины vfs object = /usr/lib/samba/vfs/recycle.so vfs options = /etc/samba/recycle.conf

у меня на такой конструкции сервера Samba работает 130 машин клиентов Win95 и Win2000, нет у меня проблем, да и помойкой не пахнет. На этом же сервере прикручено 7 HASP-ключей и около 30 баз 1С крутится помимо тысяч файлов документоборота предприятия. Потом достаем или покупаем Novell Linux Technical Resource Kit ставим Novell Linux Services 1.0 и тд. И радуемся LDAP'пу и прочим причиндалам

Поимаю... у меня так и сделано! но овнер то сможет все равно изменить права на созданный им объект!

а про бонус - огромное спасибо!

User ACL изменить не сможет !!!! (Я же пишу ЛОКАЛЬНАЯ ПОЛИТИКА БЕЗОПАСНОСТИ) эти ACL'ы не Виндовые а Линуксовые и определяются и изменяются только на стороне linux командой setfacl. на Windows таких команд нет(и в API Windows функции для этого нет) только с клавиатуры сервера или через telnet

да и любая попытка изменить файл приводит к перезаписыванию файла и соответственно к срабатыванию create mode 0666

виндус не годится даже в подъмётки любой POSIX совместимой системе

Я конечно понимаю что Линукс рулит, но Самба все-так для пионеров и начинающих. Заморочки с LDAP, невозможность работать в группе из нескольких DC и синхронизировать самостоятельно свою базу с другими BDC делают ее очень неудобной там, где нужна полная стабильность и скорость. А вот в дешевеньких сетях с одним сервером работающим "за всех" еще куда ни шло.

А что ты хочешь получить от Самбы,которая косит под Windows ? Ты почитай-почитай документацию-то по Windows. Когда все эти PDC и BDC, рекомендации не более 32 машин в домене, да trusted домены да untrusted,уже ни в какие ворота не лезли,Microsoft изобретает AD. Для них ЭТО изобретение, а для других старенький велосипед. NDS,Oracle ID (OID), OpenLDAP это что, после ADS изобрели ? А вообще то ПРАВИЛЬНЫЙ подход любого системного администратора ЭТО построить надежную,недорогую, законную,масштабируюмую и СООТВЕТСТВУЩУЮ общепринятым стандартам конструкцию. Вот Microsoft-технологии, я считаю,НЕ СООТВЕТСТВУЮТ общепринятым стандартам, зато Microsoft является монополистом,и сеточки с одним сервером даже для пионеров обходятся в кругленькую сумму.

PS.Если нужна единая аутентификация в сети и надежные файловые сервера- Самба -хороший ыыбор !!!!

Правильный подход сисадмина - чтобы всё работало и требовало минимум времени (и, соответственно, денег) на установку и поддержку.

Всё остальное - пионерство и красноглазость.

Какие ещё заморочки с LDAP? Нах нужен BDC? Репликация LDAP рулит. Ты в курсе, что в AD нет BDC? Кстати, AD - это вообще кастрированный LDAP, заточенный под smb-схемы. А если я хочу к нему ещё какую-нибудь схему прикрутить, мне что дополнительный LDAP сервер лепить?

Скажите, раз речь пошла о LDAP, возможно ли создать распределенную структуру, на подобии актив директори так, к примеру, чтобы, в двух городах стояли две самбы, работающие в режиме PDC, чтобы они были завязаны на лдап, и, чтобы юзер, перезжая из города в город мог нормально авторизовываться на самбах, используя свою родную учетную запись?

блин развели тут))) права со стороны виндус могут менять только юзеры указанные в admin users и то если шара находится на фс с поддержкой посих акл, владельцы при этом ни как прав не могуть поменять хоть пусть треснут. если все таки не дошло оставь мыло я тебе на мыло напишу =)

> Кстати, AD - это вообще кастрированный LDAP, заточенный под smb-схемы. А если я хочу к нему ещё какую-нибудь схему прикрутить, мне что дополнительный LDAP сервер лепить?

mmc.exe -> Active Directory Schema.

> Скажите, раз речь пошла о LDAP, возможно ли создать распределенную структуру, на подобии актив директори так, к примеру, чтобы, в двух городах стояли две самбы, работающие в режиме PDC, чтобы они были завязаны на лдап, и, чтобы юзер, перезжая из города в город мог нормально авторизовываться на самбах, используя свою родную учетную запись?

Можно.

>mmc.exe -> Active Directory Schema.

Прости, уже негде проверить :)