Samba ja Windows-kotihakemistot

[pikku-tero]

moi,

Olen tässä jonkun aikaa pohdiskellut sellaista ongelmaa, että kun meillä on AD-verkko, jossa käyttäjien kotihakemistot ovat Windows-palvelimella ja ne pitäisi saada mountattua sillä tavalla, että ne ovat www-palvelimella koko ajan näkyvissä. Tämä onnistuu kyllä muuten, mutta hakemistojen omistajat/oikeudet pitäisi saada näkymään myös oikein. Tällä hetkellä ne menevät rootille ja kun ne muuttaa jälkeen päin oikeiksi, niin windowsin kautta luodut/siirretyt tiedostot näkyvät taas vain rootin omistamina. (Samba-komennon, mitä olen käyttänyt, voinen postata tuossa ensi viikon alussa.) Tunnistautuminen AD:ta vastaan toimii kyllä ihan hyvin, mutta tässä tuli nyt tällainen EVO-tilanne vastaan, että piti ihan tänne rekata ja koettaa jos joku fiksu osaisi heittää hyviä ajatuksia.

[pikku-tero]

Ja tässä olisi se mount-komento jonka olen epämääräisiä lähteitä käyttäen sorvannut:

Koodia: [Valitse]

mount.cifs //fileserver/jako /home -o user=tunnus,pass=jotain,domain=toimialue,file_mode=0644,dir_mode=0751,perm(tunnus on domain-tunnus jolla autentikoin itseni domainiin)

Mutta tästä nyt puuttuu jotain, mikä mäppäisi domainin uid:t noihin filuihin myös linuxin näkökulmasta. Tällä hetkellä ne näkyvät vain root:in filuina

Joten jos jollain on hyviä ideoita niin kiitollisena otettaisiin vastaan.

[AION]

Kysymys on monen asian summasta.

Mitä tunnsitautumista käytät AD:ta vasten, winbind vai ldap? Vai jompikumpi + kerberos?

Kirjaudu tähän Linux koneellesi ad käyttäjänä ja anna seuraavat komennot ja näytäpä vähän mitä ne vastailee: (peittele kuitenkin jotain random numeroita UUID:sta ja GID:sta jne. ettei kukaan googlella löydä sun domainin tietoja)

Koodia: [Valitse]

id
getent group
getent passwd

Itsellä näyttää tältä:

Koodia: [Valitse]

sopsaare@tepa2:~$ id
uid=10000(sopsaare) gid=10001(UnixUsers) groups=107(fuse),115(pulse-access),10001(UnixUsers),10012(Domain Users),10013(Domain Admins)
sopsaare@tepa2:~$ getent group
....
UnixUsers:*:10001:linuxadmin,linux6,linux10,anjilo,jonaal,linux8,linux7,linux9...
...
sopsaare@tepa2:~$ getent passwd
...
sopsaare:*:10000:10001:Sampo Saarela (sopsaare@tnk.utu.fi):/home/sopsaare:/bin/bash
...

Se mitä olen tehnyt on ldaps authenticaatio Server 2008 AD:ta vasten, johon olen asnetanut Unix lisäkilkkeet ja antanut ihmisille Unix attributeja.
Windowsissa sitten mounttaan yhdeksi verkkoasemaksi nuo Linux kotikansiot, mutta en käytä samoja kotikansioita johtuen monesta syystä.
1. Käyttö oikeuksia on mahdoton saada aivan oikeiksi. Nykyisellään read / write permissionit molemmat ymmärtää, eli ainoa kellä kotikansiooni on oikeiksua, olen minä. Mutta Windowsilla tehdyt filut omistaa Domain User\omaid ja Linuxilla tehdyt filut omistaa Unix User\omaunixid.
2. Linuxissa piilotetut tiedostot (joita on aika paljon kotikansiossa) näkyvät windowsilla, jolloin monet loppukäyttäjät voisivat vähän sekaantua. (lue. lähes eläke ikäiset opettajat, jotka hädintuskin osaavat käyttää omia tiedostoja)
3. Meillä on eri OU:iden kotikansiot eri kansioissa. (henkilökunta, opiskelijat, oppilaat). Tällöin kyseeseen tulisi siis mountata jokaisen kotikansio erikseen jokaisen omilla permissioneilla. Vinkki pam_mount.


Likewisella (Winbindillä) tuli vähän toisen näköisiä ongelmia (ominaisuuksia). Kun tein filun Linuxissa, oli sen omistaja Windowsin mielestä käyttäjä Unix Users\omawindoswid vaikka Linuxin mielestä se oli Domain Users\omawindowsid. Myöskin tuli muita ongelmia, kuten jotkin natiivit Unix ohjelmat (fuse) eivät pitäneet Windows userID:stä, joka on yli 2 miljoonaa perus AD:ssa.

Jos tämä vähän selvensi niin hyvä.
Ja vielä yksi komento:

Koodia: [Valitse]

ls -l
Tässä on errori, jossa Linuxi ei pysty resolvaamaan UID:n omistaaja, jolloin User on UserID:

Koodia: [Valitse]

sopsaare@tepa2:~$ ls -l
-rwxr--r-- 1    10012 UnixUsers 3451 2008-10-13 10:05 krb5.conf
drwxr-xr-x 2 sopsaare UnixUsers 4096 2008-10-06 08:52 Music


Tässä on omia mietteitäni ja ongelmiani AD + Ubuntu yhteistyössä.


 

[pikku-tero]

Kysymys on monen asian summasta.

Mitä tunnsitautumista käytät AD:ta vasten, winbind vai ldap? Vai jompikumpi + kerberos?

winbind + kerberos

Kirjaudu tähän Linux koneellesi ad käyttäjänä ja anna seuraavat komennot ja näytäpä vähän mitä ne vastailee: (peittele kuitenkin jotain random numeroita UUID:sta ja GID:sta jne. ettei kukaan googlella löydä sun domainin tietoja)

Koodia: [Valitse]

id
getent group
getent passwd

Itsellä näyttää tältä:

Koodia: [Valitse]

sopsaare@tepa2:~$ id
uid=10000(sopsaare) gid=10001(UnixUsers) groups=107(fuse),115(pulse-access),10001(UnixUsers),10012(Domain Users),10013(Domain Admins)
sopsaare@tepa2:~$ getent group
....
UnixUsers:*:10001:linuxadmin,linux6,linux10,anjilo,jonaal,linux8,linux7,linux9...
...
sopsaare@tepa2:~$ getent passwd
...
sopsaare:*:10000:10001:Sampo Saarela (sopsaare@tnk.utu.fi):/home/sopsaare:/bin/bash
...

Se mitä olen tehnyt on ldaps authenticaatio Server 2008 AD:ta vasten, johon olen asnetanut Unix lisäkilkkeet ja antanut ihmisille Unix attributeja.
Windowsissa sitten mounttaan yhdeksi verkkoasemaksi nuo Linux kotikansiot, mutta en käytä samoja kotikansioita johtuen monesta syystä.
1. Käyttö oikeuksia on mahdoton saada aivan oikeiksi. Nykyisellään read / write permissionit molemmat ymmärtää, eli ainoa kellä kotikansiooni on oikeiksua, olen minä. Mutta Windowsilla tehdyt filut omistaa Domain User\omaid ja Linuxilla tehdyt filut omistaa Unix User\omaunixid.
2. Linuxissa piilotetut tiedostot (joita on aika paljon kotikansiossa) näkyvät windowsilla, jolloin monet loppukäyttäjät voisivat vähän sekaantua. (lue. lähes eläke ikäiset opettajat, jotka hädintuskin osaavat käyttää omia tiedostoja)
3. Meillä on eri OU:iden kotikansiot eri kansioissa. (henkilökunta, opiskelijat, oppilaat). Tällöin kyseeseen tulisi siis mountata jokaisen kotikansio erikseen jokaisen omilla permissioneilla. Vinkki pam_mount.

No meillä on toki omilla palvelimillaan nämä (siis henkilökunta ja oppilaat). Pam_mounthan on sessiokohtainen, tässä oli siis se idea, että nuo kotihakemistot mountataan heti bootin yhteydessä ja käyttäjien web-sivut näkyvät sitä kautta, ettei niitä tarvitse moneen eri paikkaan talletella. Väittäisin, että ongelma sinänsä ei ole tuossa AD:ssa vaan juurikin nyt tuo kotihakemisto-jaon mounttaus, sillä esim wbinfo -g näyttää kyllä oikeat AD ryhmät jne.

Likewisella (Winbindillä) tuli vähän toisen näköisiä ongelmia (ominaisuuksia). Kun tein filun Linuxissa, oli sen omistaja Windowsin mielestä käyttäjä Unix Users\omawindoswid vaikka Linuxin mielestä se oli Domain Users\omawindowsid. Myöskin tuli muita ongelmia, kuten jotkin natiivit Unix ohjelmat (fuse) eivät pitäneet Windows userID:stä, joka on yli 2 miljoonaa perus AD:ssa.

Jos tämä vähän selvensi niin hyvä.

Lisäksi tässä tapauksessa meillä on sellainen ongelma, että jos käyttäjä kopioi/siirtää filuja windowsin resurssienhallinnan kautta, niin linuxin mielestä omistaja on linuxin root. Kuten alkuperäisessä ongelmassakin.
WinSCP:llä tai vastaavalla siirretyt filut näkyvät juurikin oikein, modet ovat niin kuin pitääkin jne.

Ja vielä yksi komento:

Koodia: [Valitse]

ls -l
Tässä on errori, jossa Linuxi ei pysty resolvaamaan UID:n omistaaja, jolloin User on UserID:

Koodia: [Valitse]

sopsaare@tepa2:~$ ls -l
-rwxr--r-- 1    10012 UnixUsers 3451 2008-10-13 10:05 krb5.conf
drwxr-xr-x 2 sopsaare UnixUsers 4096 2008-10-06 08:52 Music


Tässä on omia mietteitäni ja ongelmiani AD + Ubuntu yhteistyössä.


 

Yo. tapauksessa käynnistän winbindin uudelleen

Mutta pitää pohtia asiaa lisää, varsinainen vika on kuitenkin EVO, joten eiköhän se jossain vaiheessa osu oikeat parametrit tuohon mountiin.

[AION]

Itse siis luovutin kotikansioiden osalta osittain käsittämättömän hankaluuden ja osittain sen takia, että se olisi aiheuttanut lisä ongelmia henkilöille, jotka ovat muutenkin jo tarpeaksi pihalla.
Kokeilepa navigoida sinne kotikansiion nautiluksella (sehän ymmärtää sambaa) laittamalla vain osoite riville smb://palvelin/kansio/username ja katsos näyttääkö se permissionit silloin oikein?
Miksi muuten käytät mount.cifs? eikö mount -t smbfs //palvelin/kansio/username /home -u,pass,domain olisi kokeilemisen arvoinen? mount.cifshän on vähän vanhentunut paketti?

Tässä vain mietteitä, toivottavasti auttavat vähän.