Добрый день всем! Имею конфигурацию AD, debian 10 + realm + sssd и samba. В сети искал инструкцию, как ревлзиовать ntfs acl в шаре, поднятой на debian, введённого в домен AD. Так не нашёл толком консолидированного мануала. Можете подсказать, годный мануал на эту тему?
[global]
security = ADS
workgroup = КОРОТКОЕ_ИМЯ_ДОМЕНА
realm = ПОЛНОЕ_ИМЯ_ДОМЕНА
dns proxy = no
socket options = TCP_NODELAY
domain master = no
local master = no
preferred master = no
os level = 0
load printers = no
show add printer wizard = no
printcap name = /dev/null
disable spoolss = yes
server string = %h server (Samba, Ubuntu)
log file = /var/log/samba/log.%m
log level = 1
max log size = 1000 panic action = /usr/share/samba/panic-action %d
server role = standalone server
obey pam restrictions = yes
unix password sync = yespasswd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
pam password change = yes map to guest = bad user
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
winbind refresh tickets = Yes
idmap config * : backend = tdb
idmap config * : range = 3000-7999
idmap config КОРОТКОЕ_ИМЯ_ДОМЕНА : backend = rid
idmap config КОРОТКОЕ_ИМЯ_ДОМЕНА : range = 10000-9999999
usershare allow guests = yes
[ИМЯ_ШАРЫ]
comment = НАЗВАНИЕ_ШАРЫ
path = ПУТЬ_К_ШАРЕ_ВНУТРИ_ЛИНУКС
browseable = no
public = no
writeable = yes
read only = no
inherit acls = yes
inherit owner = yes
inherit permissions = yes
map acl inherit = yes
create mask = 0770
directory mask = 0770
force create mode = 0770
force directory mode = 0770
valid users = СПИСОК_ПОЛЬЗОВАТЕЛЕЙ_ИЛИ_ГРУПП_ИМЕЮЩИХ_ДОСТУП
Дальнейшие права раздавайте из Windows.
И да, acl должен стоять в системе, как выше сказали.
Вот минимальный набор нужных компонентов:
acl attr samba samba-dsdb-modules samba-vfs-modules krb5-user winbind dnsutils krb5-config libpam-krb5 libpam-winbind libnss-winbind
А вы не подскажете, почему из Debian 10 не видно принтер, расшаренный на ПК с Windows? Оба находятся в домена АД. Ошибка NT_STATUS_ACCESS_DENIED. В конфиге smb.conf ничего особенного.
[global]
workgroup = ***
client signing = yes
kerberos method = dedicated keytab
#kerberos method = secrets and keytab
dedicated keytab file = /etc/krb5.keytab
pam password change = Yes
#password server =
log file = /var/log/samba/%m.log
realm = ***.RU
security = ADS
server string = ***
idmap config * : backend = tdb
#[homes]
# comment = Home Directories
# browseable = No
# create mask = 0700
# directory mask = 0700
# valid users = %S
[printers]
comment = All Printers
path = /var/spool/samba
browseable = No
printable = Yes
create mask = 0700
[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
pam password change = yes
вообще это синхронизация паролей линукс и самбы (у нее могут быть свои юзеры и пароли, не связанные с доменом) - но какое это влияние на работу в домене окажет, я хз
у нас такой настройки не было (но, мало ли что сейчас стало актуально)
вот тут есть описание практически по всем параметрам
GNU/Linux
1.2K поста15.6K подписчика
Правила сообщества
Все дистрибутивы хороши.
Будьте людьми.