Näytä kirjoitukset
1
Ohjelmointi, palvelimet ja muu edistyneempi käyttö / Vs: Samba ja Windows-kotihakemistot
« : 21.10.08 - klo:18.19 »Kysymys on monen asian summasta.
Mitä tunnsitautumista käytät AD:ta vasten, winbind vai ldap? Vai jompikumpi + kerberos?
winbind + kerberos
Kirjaudu tähän Linux koneellesi ad käyttäjänä ja anna seuraavat komennot ja näytäpä vähän mitä ne vastailee: (peittele kuitenkin jotain random numeroita UUID:sta ja GID:sta jne. ettei kukaan googlella löydä sun domainin tietoja)Koodia: [Valitse]id
getent group
getent passwd
Itsellä näyttää tältä:Koodia: [Valitse]sopsaare@tepa2:~$ id
uid=10000(sopsaare) gid=10001(UnixUsers) groups=107(fuse),115(pulse-access),10001(UnixUsers),10012(Domain Users),10013(Domain Admins)
sopsaare@tepa2:~$ getent group
....
UnixUsers:*:10001:linuxadmin,linux6,linux10,anjilo,jonaal,linux8,linux7,linux9...
...
sopsaare@tepa2:~$ getent passwd
...
sopsaare:*:10000:10001:Sampo Saarela (sopsaare@tnk.utu.fi):/home/sopsaare:/bin/bash
...
Se mitä olen tehnyt on ldaps authenticaatio Server 2008 AD:ta vasten, johon olen asnetanut Unix lisäkilkkeet ja antanut ihmisille Unix attributeja.
Windowsissa sitten mounttaan yhdeksi verkkoasemaksi nuo Linux kotikansiot, mutta en käytä samoja kotikansioita johtuen monesta syystä.
1. Käyttö oikeuksia on mahdoton saada aivan oikeiksi. Nykyisellään read / write permissionit molemmat ymmärtää, eli ainoa kellä kotikansiooni on oikeiksua, olen minä. Mutta Windowsilla tehdyt filut omistaa Domain User\omaid ja Linuxilla tehdyt filut omistaa Unix User\omaunixid.
2. Linuxissa piilotetut tiedostot (joita on aika paljon kotikansiossa) näkyvät windowsilla, jolloin monet loppukäyttäjät voisivat vähän sekaantua. (lue. lähes eläke ikäiset opettajat, jotka hädintuskin osaavat käyttää omia tiedostoja)
3. Meillä on eri OU:iden kotikansiot eri kansioissa. (henkilökunta, opiskelijat, oppilaat). Tällöin kyseeseen tulisi siis mountata jokaisen kotikansio erikseen jokaisen omilla permissioneilla. Vinkki pam_mount.
No meillä on toki omilla palvelimillaan nämä (siis henkilökunta ja oppilaat). Pam_mounthan on sessiokohtainen, tässä oli siis se idea, että nuo kotihakemistot mountataan heti bootin yhteydessä ja käyttäjien web-sivut näkyvät sitä kautta, ettei niitä tarvitse moneen eri paikkaan talletella. Väittäisin, että ongelma sinänsä ei ole tuossa AD:ssa vaan juurikin nyt tuo kotihakemisto-jaon mounttaus, sillä esim wbinfo -g näyttää kyllä oikeat AD ryhmät jne.
Likewisella (Winbindillä) tuli vähän toisen näköisiä ongelmia (ominaisuuksia). Kun tein filun Linuxissa, oli sen omistaja Windowsin mielestä käyttäjä Unix Users\omawindoswid vaikka Linuxin mielestä se oli Domain Users\omawindowsid. Myöskin tuli muita ongelmia, kuten jotkin natiivit Unix ohjelmat (fuse) eivät pitäneet Windows userID:stä, joka on yli 2 miljoonaa perus AD:ssa.
Jos tämä vähän selvensi niin hyvä.
Lisäksi tässä tapauksessa meillä on sellainen ongelma, että jos käyttäjä kopioi/siirtää filuja windowsin resurssienhallinnan kautta, niin linuxin mielestä omistaja on linuxin root. Kuten alkuperäisessä ongelmassakin.
WinSCP:llä tai vastaavalla siirretyt filut näkyvät juurikin oikein, modet ovat niin kuin pitääkin jne.
Ja vielä yksi komento:Koodia: [Valitse]ls -lTässä on errori, jossa Linuxi ei pysty resolvaamaan UID:n omistaaja, jolloin User on UserID:Koodia: [Valitse]sopsaare@tepa2:~$ ls -l
-rwxr--r-- 1 10012 UnixUsers 3451 2008-10-13 10:05 krb5.conf
drwxr-xr-x 2 sopsaare UnixUsers 4096 2008-10-06 08:52 Music
Tässä on omia mietteitäni ja ongelmiani AD + Ubuntu yhteistyössä.
Yo. tapauksessa käynnistän winbindin uudelleen
Mutta pitää pohtia asiaa lisää, varsinainen vika on kuitenkin EVO, joten eiköhän se jossain vaiheessa osu oikeat parametrit tuohon mountiin.
