Я создаю небольшой домен. AD DC работает под управлением Samba 4.11.6 на Ubuntu 20.04. Я хотел, чтобы этот экземпляр samba также размещал общий ресурс cifs для домов пользователей, который я мог бы монтировать на клиентских машинах. Итак, я решил создать каталог / home / MYDOMAIN
, и дома всех пользователей домена будут внутри него. Затем я бы выставил это как общий сетевой ресурс на AD DC и смонтировал на клиентских машинах в том же месте - / home / MYDOMAIN
- чтобы пользователи, которые входят в систему с учетными данными домена, автоматически находили свой дом каталог смонтирован. Это smb.conf
, который добивается этого:
[global]
dns forwarder = 192.168.1.1
netbios name = ADDC
realm = MYDOMAIN.COM
server role = active directory domain controller
workgroup = MYDOMAIN
vfs objects = dfs_samba4 acl_xattr recycle
map acl inherit = Yes
template shell = /bin/bash
template homedir = /home/%D/%U
[users]
comment = User home directories
path = /home/MYDOMAIN
browseable = Yes
guest ok = No
create mask = 0640
directory mask = 0750
writeable = Yes
Все в порядке, кроме одной детали. Если я теперь укажу следующее на ПК-члене домена, на котором также работает Ubuntu 20.04, в / etc / fstab
:
//addc.mydomain.com/users /home/MYDOMAIN cifs credentials=/root/.administratorcredentials,vers=3.0,iocharset=utf8 0 0
Когда я монтирую это с помощью mount -a
, я получаю / home / MYDOMAIN
каталог, владельцем которого является root: root. Все, что находится под этим, включая домашние каталоги пользователей, также принадлежит root: root, что означает, что пользователи не смогут писать в свои дома, если я не сделаю все доступным для записи для всех, что вроде бы побеждает цель настройки этого домена для Начнем с.
Я читал, что при настройке samba в качестве AD DC его возможности совместного использования файлов в некоторой степени ограничиваются только поддержкой Windows ACL, но не POSIX. Это то, что здесь происходит? Я теряю из-за этого информацию о праве собственности? Когда я проверяю общие каталоги на компьютере с Windows 10, кажется, что они принадлежат тому, кому они должны принадлежать.
Есть ли какое-либо обходное решение для этого или, может быть, лучшая идея для достижения того же - поддерживать только одну копию пользователей домена 'домашние каталоги?
------------------ РЕДАКТИРОВАТЬ 31.10.2020 --------------------
После множества дополнительных поисков я нашел возможную причину, по которой моя исходная конфигурация не работает, но мне еще предстоит найти решение. Может быть, это потому, что мой idmap настроен неправильно (или вообще не установлен)? Я говорю это потому, что когда я говорю следующее в объявлении dc:
id myuser@mydomain.com
, я получаю ответ, содержащий uid = 3000034 и gid = 100 (пользователи). Но на другом ПК, члене домена, к которому я присоединился через sssd, та же команда дает ответ с uid = 1001801118 и gid = 1001800513 (домен (скрытый)
Используйте это вместо [users]
[homes]
comment = Home Directories
browseable = no
read only = no
create mask = 0700
directory mask = 0700
valid users = %S
Вам придется вручную создать домашний каталог каждого пользователя в /home/MYDOMAIN или написать сценарий 'root preexec', чтобы создавать их при подключении пользователя. на долю.