Hallo Leute!
Ich habe gestern einen Server eingerichtet mit Samba 4.1.6. Samba ist als Active-Directory-Controller eingerichtet und scheint auch seine Arbeit gut zu machen (ein Windows-Rechner kann sich in Domain autentifizieren).
Nun wenn ich aber versuche in einem Share zu schreiben bekomme ich einen Fehler. Wenn ich mit smbclient verfüche, bekomme ich:
smb: > mkdir TEST NT_STATUS_ACCESS_DENIED making remote directory \TEST
was natürlich NICHT in Ordnung sind. Ich verstehe aber wirklich nicht warum.
Hier die smb.conf (sehr klein und übersichtlich):
# Global parameters [global] workgroup = CCH realm = CCH.INTRA netbios name = CCH-SRV server role = active directory domain controller server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc idmap_ldb:use rfc2307 = yes
interfaces = 192.168.50.1 bind interfaces only = yes dns forwarder = 192.168.50.1 printing = CUPS printcap name = /dev/null
[netlogon] path = /var/lib/samba/sysvol/cch.intra/scripts read only = No
[sysvol] path = /var/lib/samba/sysvol read only = No
[homes] comment = Home Directories browseable = yes writable = yes read only = no create mask = 0700 directory mask = 0700 valid users = %S
Habt ihr eine Ahnung, was ich falsch gemacht habe?
Danke Luca Bertoncello (lucabert@lucabert.de)
Zitat von Luca Bertoncello lucabert@lucabert.de:
Ich verstehe aber wirklich nicht warum.
Hallo nochmal.
Ich habe ein paar Tests gemacht... Als erstes habe ich ein zweites Share hinzugefügt:
[public] comment = Public Stuff path = /home/public public = yes writable = yes browseable = yes
Wenn ich mich anmelde und dort eine Directory anlege, FUNKTIONIERT es. Allerdings sehe ich dass die Datei als Inhaber "3000000" hat.
Dann habe ich versucht, bei der [homes] noch:
force user = %S
hinzuzufügen. Nun kann ich die Directory auch in der Home anlegen, allerdings hat die neue Directory als Nutzer und Gruppe "3000000".
Hat jemand eine Erklärung?
Danke Luca Bertoncello (lucabert@lucabert.de)
Hallo Luca,
Am 29.02.2016 um 09:34 schrieb Luca Bertoncello:
Nun kann ich die Directory auch in der Home anlegen, allerdings hat die neue Directory als Nutzer und Gruppe "3000000".
Hat jemand eine Erklärung?
Samba und ActiveDirectory ist nicht ganz so simpel wie es scheint ;-)
Diese UID/GID wird seitens Windows vorgegeben und entspricht quasi dem Domänenadministratorkonto. Ohne ein sinnvolles Mapping der Windows-UID/GID auf Unix-Seite wirst du früher oder später in Probleme laufen - z.B. bei Quotas oder ähnlichem. Die Zuweisung der ID's machst du am besten mit RSAT [1] und vergibst dann ab z.B. 3000000 die UID's und GID's in den Unix-Attributen bei den Objekten.
Hast du auf dem Samba-DC bzw. den "konsumierenden" Linux-Systemen ein Mapping eingerichtet? Dies geht beispielsweise mit nslcd oder ähnlichem.
Nutzt du auf dem Samba-DC im Filesystem die ACL's und Extended Attributes? In diesen werden ja die ganzen Windows-ACL-Zusatzinformationen abgelegt. (schau dir das mal mit getfacl, getfattr an).
[1] https://wiki.samba.org/index.php/Installing_RSAT
Grüße /Marian
Zitat von Marian Neubert marian@tesla-crew.de:
Hallo Marian!
Samba und ActiveDirectory ist nicht ganz so simpel wie es scheint ;-)
Ich finde AD selbst nicht ganz so toll, aber das war der Wunsch der Person, der den Server nutzen wird...
Diese UID/GID wird seitens Windows vorgegeben und entspricht quasi dem Domänenadministratorkonto. Ohne ein sinnvolles Mapping der Windows-UID/GID auf Unix-Seite wirst du früher oder später in Probleme laufen - z.B. bei Quotas oder ähnlichem. Die Zuweisung der ID's machst du am besten mit RSAT [1] und vergibst dann ab z.B. 3000000 die UID's und GID's in den Unix-Attributen bei den Objekten.
OK, also es ist ein Mappingproblem... Gut, das ist wenigstens ein Anfang...
Hast du auf dem Samba-DC bzw. den "konsumierenden" Linux-Systemen ein Mapping eingerichtet? Dies geht beispielsweise mit nslcd oder ähnlichem.
Nein, noch nicht. Ich wusste nicht, dass jetzt was nötig ist, ich werde aber natürlich das machen...
Nutzt du auf dem Samba-DC im Filesystem die ACL's und Extended Attributes? In diesen werden ja die ganzen Windows-ACL-Zusatzinformationen abgelegt. (schau dir das mal mit getfacl, getfattr an).
Ja!
Grüße und Danke Luca Bertoncello (lucabert@lucabert.de)
Diese UID/GID wird seitens Windows vorgegeben und entspricht quasi dem Domänenadministratorkonto. Ohne ein sinnvolles Mapping der Windows-UID/GID auf Unix-Seite wirst du früher oder später in Probleme laufen - z.B. bei Quotas oder ähnlichem. Die Zuweisung der ID's machst du am besten mit RSAT [1] und vergibst dann ab z.B. 3000000 die UID's und GID's in den Unix-Attributen bei den Objekten.
OK, also es ist ein Mappingproblem... Gut, das ist wenigstens ein Anfang...
Nein, das muss es nicht sein, denn...
Nutzt du auf dem Samba-DC im Filesystem die ACL's und Extended Attributes? In diesen werden ja die ganzen Windows-ACL-Zusatzinformationen abgelegt. (schau dir das mal mit getfacl, getfattr an).
... wenn die ACL's und xtarrs auf dem DC sauber konfiguriert sind, musst du nicht unbedingt ein Mapping machen. Aber das hilft bei der Fehlersuche ungemein, wenn du nicht permanent mit 6-stellingen Nummern auf dem Linuxsystem herumraten willst.
Noch ein Tipp: erhöhe mal das Loglevel in der smb.conf, z.B. auf "log level = 3". Dann sind die Inhalte unter /var/log/samba/* auch deutlich aussagekräftiger.
Grüße /Marian
lug-dd@mailman.schlittermann.de
-
Luca Bertoncello -
Marian Neubert