Samba PDC+LDAP+PAM/NSS Debian Lennyn

A HupWiki-ből...

A kék keretes dobozkákatat nemtudom hogykell beljebb csusztatni, aki tudja help...

Tartalomjegyzék 1 Cél 2 Források 3 Előkészületek 4 Telepítés 4.1 Új csomagok telepítése 5 Csomagok beállítása 5.1 OpenLdap server beállítása 5.2 PhpLdapadmin beállítása 5.3 Samba beállítása 5.4 SmbLdap Tools beállítása 5.5 LDAP és PAM/NSS beállítása 5.6 PAM beállítása 6 Rendszer adminisztrációja 6.1 Felhasználók/csoportok kezelése 6.2 Kliensek csatlakoztatása 6.3 Megosztott könyvtárak jogosultság szabályozása 6.4 Egyéb adminisztrációt segítő eszközök 6.5 Egyéb megjegyzések 6.5.1 Local admin 6.5.2 CTRL-ALT-DEL login előtt

Cél

• A cél egy olyan samba server létrehozása Debian Lenny verzión, amely LDAP ból authentikál, a file jogokat pedig Posix ACL segítségével kezeli. A dolog 2009.09 állapotú Lenny verzióval biztosan működik.
• Az LDAP adatbázisból történik a linux felhasználói beléptetés is. Van az itt megvalósítottnál biztonságosabb megoldás is (pl. amikor az LDAP serverrel titkosított csatornán kommunikál mindenki) de nekem megfelelő volt ez a biztonsági szint is.

Források

A howto alapja az alábbi howto volt, de sajnos volt benne pár hiba (szerintem) : http://edin.no-ip.com/content/ldap-samba-pdc-pamnss-debian-lenny-howto

A fenti linken lévő howtoval azonos sorrendben írom a dolgokat, de tudom hogy ebbe bele lehet kötni, csak a könyebb összehasonlítás miatt hagytam meg annak sorrendjét. ( Én a sask domain nevet használtam mindenhol. (.com nélkül))

Egyéb hasznos írások lehetnek:

http://topolya.uw.hu/pdc-etch_webre_20080123.doc

http://us6.samba.org/samba/docs/man/Samba-Guide/

http://www.linuxvilag.hu/content/files/cikk/69/cikk_69_54_61.pdf

http://www.sambaxp.org/index.php?id=150 -- Itt a legutóbbi samba eXPerience előadásokon leadott előadások diáit lehet megnéni, néhány érdekes lehet azoknak akik pl. a samba jogok kiterjesztésén gondolkodnak : "Native Windows ACLs in Samba 3" - http://www.sambaxp.org/files/SambaXP2009-DATA/Jeremy_Allison.odp vagy http://www.sambaxp.org/files/SambaXP2009-DATA/Nils_Goroll.pdf de érdemes átböngészni többi diát is...

http://forums.freebsd.org/showthread.php?t=770 - Ugyan BSD alatt készített HOWTO, de azért hasznos lehet

Előkészületek

• Az alaprendszer telepítését nem részletezem, az megtalálható sok helyen és formában, pl : http://www.debian.org/releases/stable/installmanual

• A samba megosztásokat tartalmazó köteten engedélyezve kell lenni az ACL opciónak, ehhez az /etc/fstab fájlban a megfelelő kötet csatolási opcióját módosítjuk : (samba verziótol függően a user_xattr opciót is tudja használni - de lenny ben ami most van az tudtommal nem tudja)

/dev/sda3       /               ext3   defaults,user_xattr,acl,errors=remount-ro 0 1

• A fenti változtatás csak újrainduláskor lép életbe, de a következő paranccsal újracsatolhatjuk újraindítás nélkül is az adott kötetet :

# mount -o remount,acl,user_xattr /dev/sda3

• Biztosítjuk, hogy a meglévő csomagok frissek legyen (biztos ami biztos)

# aptitude update

# aptitude safe-upgrade

• Ebben a Howto-ban az LDAP rootpw helyett mindenhol VALTOZTASS_MEG van írva, ezt értelemszerűen mindenki változtassa meg tetszés szerint, természetesen a *.secret fájlokban is ennek kell majd lenni.

Telepítés

Új csomagok telepítése

• Feltesszük az összes szükséges csomagot egyszerre, ezek közül néhány csomagnak van beépített configuráló scriptje, amelyek már itt elindulnak azonnal, de igazán itt nem állítjuk be élesre őket, később majd újraindítjuk a megfelelő konfiguráló scriptet.

Fontos még, hogy a resolvconf csomag telepítése miatt, lehet hogy ezek után nem fog működni a névfeloldásunk. (szerintem resolvconf nélkül is működik a fenti elvárásoknak megfelelő rendszer - de ezt nem próbáltam, inkább beállítottam a resolvconfot az előírások szerint) Nekem ehhez az /etc/network/interfaces fájlba kellett egy "dns-nameservers 192.168.1.99" sort beszúrni, természetesen ez hálózati topológiától függően más beállítást igényelhet. Itt : http://wiki.debian.org/NetworkConfiguration#Theresolvconfprogram írnak róla kicsit bővebben.

# aptitude update

# aptitude install apache2-suexec libapache2-mod-php5 php5 php5-cli php5-curl php5-gd php5-imap php5-ldap php5-mcrypt php5-mhash php5-sqlite php5-tidy php5-xmlrpc php-pear slapd mcrypt ldap-utils libgd-tools apache2-doc libpam-ldap libnss-ldap resolvconf samba swat smbclient smbfs smbldap-tools

Csomagok beállítása

OpenLdap server beállítása

# dpkg-reconfigure slapd

• Omit OpenLDAP server configuration? No
• DNS domain name: sask
• Organization name: sask
• Administrator password: VALTOZTASS_MEG
• Database backend to use: HDB
• Do you want the database to be removed when slapd is purged? No
• Allow LDAPv2 protocol? No

• Ezzel készítünk egy LDAP mentést :

# slapcat > ~/slapd.ldif

• Majd a samba sémát bemásoljuk az LDAP sémákhoz :

# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema

• Generálunk egy MD5 jelszó hasht amelyet majd be kell írnunk az openldap configba :

# slappasswd -h {MD5}

• Szerkesszük az OpenLdap configot, /etc/ldap/slapd.conf (elvileg a samba sema include, az MD5 rootpwd, admin, domain, valamint par index amit modositani kell a default lenny configban) :

include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/inetorgperson.schema
include         /etc/ldap/schema/samba.schema

pidfile         /var/run/slapd/slapd.pid

argsfile        /var/run/slapd/slapd.args

loglevel        256

modulepath      /usr/lib/ldap
moduleload      back_hdb

sizelimit 500

tool-threads 1

backend         hdb

database        hdb

suffix          "dc=sask"

rootdn          "cn=admin,dc=sask"
rootpw          {MD5}kQlVqQfnObgeyIVXYxCKKQ==

directory       "/var/lib/ldap"

dbconfig set_cachesize 0 2097152 0

dbconfig set_lk_max_objects 1500

dbconfig set_lk_max_locks 1500

dbconfig set_lk_max_lockers 1500

index           objectClass eq,pres
index ou,cn,sn,mail,givenname           eq,pres,sub
index uidNumber,gidNumber,memberUid     eq,pres
index loginShell                        eq,pres

index uid                               pres,sub,eq

index displayName                       pres,sub,eq
index nisMapName,nisMapEntry            eq,pres,sub
index sambaSID                          eq
index sambaPrimaryGroupSID              eq
index sambaDomainName                   eq
index default                           sub
index uniqueMember                      eq
index sambaGroupType                    eq
index sambaSIDList                      eq


lastmod         on

checkpoint      512 30

access to attrs=userPassword,shadowLastChange
        by dn="cn=admin,dc=sask" write
        by anonymous auth
        by self write
        by * none

access to dn.base="" by * read

access to *
        by dn="cn=admin,dc=sask" write
        by * read

• A loglevel ezen állapotban nagyon sok "szemetet" dobál a logba, de amíg nincs kész a rendszer addig hasznos információkat nyerhetünk ki ezen információkból.

Ha minden működik nyugodtan állítsuk kisebbre.

• Allitsuk le az NSCD démont (Name Service Cache) amig az Ldap server adatbazisat modositgatjuk :

# /etc/init.d/nscd stop

• Frissitsuk az LDAP adadatbázist :

# /etc/init.d/slapd stop

# rm -rf /var/lib/ldap/*

# slapadd -l ~/slapd.ldif

# slapindex

# chown -Rf openldap:openldap /var/lib/ldap

# /etc/init.d/slapd start

• slapcat al ezekutan ellenőrizhetjük, hogy van-e valami benne :)

# slapcat

• Valamint egy proba Ldap keresest is indithatunk :

# ldapsearch -x -b -s base '(objectclass=*)' namingContexts

PhpLdapadmin beállítása

• Telepítünk egy grafikus php alapú Ldap klienst, de ehhez nehány php beállítás is szükséges :

• Megkell növelni pár értéket : /etc/php5/apache2/php.ini

memory_limit = 128M;
post_max_size = 32M;
upload_max_filesize = 32M;

• Apache configban : /etc/apache2/sites-enabled/000-default (az "AllowOverride all"-t kell módosítani) :

<Directory /var/www/>
  Options Indexes FollowSymLinks MultiViews
  AllowOverride all
  Order allow,deny
  allow from all
</Directory>

• Majd indítsuk újra az apache2-t :

#/etc/init.d/apache2 restart

• Már csak a PhpLdapAdmin van hátra:

# aptitude install phpldapadmin

• Ezekután http://SERVER_IP_CIM/phpldapadmin oldalon, be kell jönnie a PhpLdapAdmin felületnek, ahol a rootdn felhasználónévvel, sask domainnel es a megadott jelszoval be tudunk lépni (bejelentkezési DN : cn=admin,dc=sask) jelszó aminek az Md5 hashet megadtuk slapd.conf ban.

Samba beállítása

• Állítsuk be végre a samba servert az alábbi konfiggal : /etc/samba/smb.conf

[global]
dos charset = UTF-8
display charset = UTF-8
workgroup = SASK
realm = SASK
server string = %h server
map to guest = Bad User
passdb backend = ldapsam:ldap://127.0.0.1/
pam password change = Yes
passwd program = /usr/sbin/smbldap-passwd -u %u
passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authentication*tokens*updated*
unix password sync = Yes
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
time server = Yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
add user script = /usr/sbin/smbldap-useradd -m %u
delete user script = /usr/sbin/smbldap-userdel %u
add group script = /usr/sbin/smbldap-groupadd -p %g
delete group script = /usr/sbin/smbldap-groupdel %g
add user to group script = /usr/sbin/smbldap-groupmod -m %u %g
delete user from group script = /usr/sbin/smbldap-groupmod -x %u %g
set primary group script = /usr/sbin/smbldap-usermod -g %g %u
add machine script = /usr/sbin/smbldap-useradd -w %u
logon script = logon.bat
logon path = \\%N\profiles\%U
logon drive = U:
domain logons = Yes
os level = 65
preferred master = Yes
domain master = Yes
dns proxy = No
wins support = Yes
ldap admin dn = cn=admin,dc=sask
ldap delete dn = Yes
ldap group suffix = ou=group
ldap idmap suffix = ou=idmap
ldap machine suffix = ou=computer
ldap suffix = dc=sask
ldap ssl = no
ldap user suffix = ou=people
panic action = /usr/share/samba/panic-action %d
map acl inherit = Yes
case sensitive = No
hide unreadable = Yes
map hidden = Yes
map system = Yes

[homes]
comment = Home Directories
valid users = %S
read only = No
create mask = 0711
directory mask = 0700
browseable = No

[printers]
comment = All Printers
path = /var/spool/samba
create mask = 0711
printable = Yes
browseable = No

[print$]
comment = Printer Drivers
create mask = 0711
path = /var/lib/samba/printers

[netlogon]
path = /var/lib/samba/netlogon
create mask = 0711
browseable = No

[profiles]
path = /var/lib/samba/profiles
force user = %U
read only = No
create mask = 0711
directory mask = 0700
guest ok = Yes
profile acls = Yes
browseable = No
csc policy = disable

[public]
path = /tmp
read only = No
create mask = 0711
guest ok = Yes

[adat1]
path = /adat1
create mask = 0711

[adat2]
path = /adat2
create mask = 0711

[adat3]
path = /adat3
create mask = 0711

[adat4]
path = /adat4
create mask = 0711

• Adat1..4 ig egyedi teszt megosztások, nyugodtan elhagyhatjuk őket.

• A http://SERVER_IP_CIM:901 cimen érjük el a SWAT felületet ahol a samba beállításait tudjuk módosítani. Ha a swat csomag telepítése után nem tettük még meg indítsuk újra az Inetd démont (ha nem jön be SWAT felület):

#/etc/init.d/openbsd-inetd restart

• Tudatnunk kell a sambaval hogy milyen rootpwd vel tud belépni az LDAP serverre (jelszo nincs samba configban) :

# smbpasswd -w VALTOZTASS_MEG

• A samba roaming profile működéshez néhány könyvtárat létre kell hozni a megfelelő jogosultságokkal :

# mkdir -p /var/lib/samba/netlogon /var/lib/samba/profiles

# chown -Rf root:root /var/lib/samba/netlogon /var/lib/samba/profiles

# chmod 1777 /var/lib/samba/profiles

• A netlogon könyvtárba a felhasználók neveivel létrehozott könyvtárakba tehetjük az adott felhasználó belépésekor végrehajtandó login scriptet. Fontos hogy ezen scriptek windows-os sorvége karaktereket tartalmazzon, nem pedig LINUX oskat, mert ezeket a windows fogja végrehajtani. Vagy windowson irjuk meg a scripteket és másoljuk a megosztásokon keresztül a helyükre, vagy linuxon írjuk meg és azután a todos parancssal konvertáljuk a sorvége karaktereket windowzosra.

• A logon.bat valami ilyesmi lehet például :

net time \\saskPDC /set /yes^
net use w: /home^
net use i: \\saskPDC\adat1^
net use j: \\saskPDC\adat2^
net use k: \\saskPDC\adat3^

Az első parancs a kliens idejét szinkronizálja a server idővel. A továbbiak pedig egy-egy megosztást csatolnak fel a kliensre. Itt csatolhatunk fel nyomtatókat is.Ide tetszés szerinti batch fájlban futtatható paracsonat írhatunk.

• Samba configurációnk helyességét a következő paranccsal tudjuk ellenőrizni :

# testparm

• Indítsuk újra a samba-t

# /etc/init.d/samba restart

SmbLdap Tools beállítása

• Az smbldap-tools-t fogjuk használni a felhasználók és csoportok Ldap adatbázishoz adásához. Mivel ezzel a sambanak megfelelő formában/sémában jönnek létre az Ldap objektumok.
• Először másoljunk egy default konfigot :

# zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf

# cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf

• Szükségünk lesz a SAMBA SID-jére, kérjük le az alábbi paranccsal :

# net getlocalsid

• Majd a szükséges módosításokat végezzük el a saját beállításainknak megfelelően az /etc/smbldap-tools/smbldap.conf fájlban :

( módosítanunk kell a SID, sambaDomain,suffix,computersdn,groupsdn,idmapdn,userSmbHome,userProfile - utóbbi 2 miatt a smb.conf ból fogja venni ezen értékeket a samba.)

SID="S-1-5-21-3845877744-1762469679-394366858"

sambaDomain="SASK"

slaveLDAP="127.0.0.1"

slavePort="389"

masterLDAP="127.0.0.1"

masterPort="389"

ldapTLS="0"

verify="require"

cafile="/etc/smbldap-tools/ca.pem"
clientcert="/etc/smbldap-tools/smbldap-tools.pem"

clientkey="/etc/smbldap-tools/smbldap-tools.key"

suffix="dc=sask"

usersdn="ou=people,${suffix}"
computersdn="ou=computer,${suffix}"

groupsdn="ou=group,${suffix}"

idmapdn="ou=idmap,${suffix}"

sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"

scope="sub"
hash_encrypt="MD5"

crypt_salt_format="%s"

userLoginShell="/bin/bash"

userHome="/home/%U"

userHomeDirectoryMode="700"

userGecos="System User"

defaultUserGid="513"

defaultComputerGid="515"

skeletonDir="/etc/skel"

defaultMaxPasswordAge="365"

userSmbHome=""

userProfile=""

userHomeDrive="H:"

userScript="logon.bat"

mailDomain="sask.hu"

with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"

with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd"

• Bekell állítanunk még a /etc/smbldap-tools/smbldap_bind.conf fájlban a jelszavakat :

slaveDN="cn=admin,dc=sask"
slavePw="VALTOZTASS_MEG"
masterDN="cn=admin,dc=sask"
masterPw="VALTOZTASS_MEG"

• Adjunk megfelelő jogokat a fenti fájloknak :

# chmod 0644 /etc/smbldap-tools/smbldap.conf

# chmod 0600 /etc/smbldap-tools/smbldap_bind.conf

• Majd készítsük el a tool segítségével a megfelelő Ldap struktúrát :

# smbldap-populate

• Készítsünk egy mentést :

# slapcat > ~/smbldap.ldif

LDAP és PAM/NSS beállítása

• Itt meg kell jegyeznem, hogy szerintem az NSS azon része amely a hostneveket LDAP ből oldaná fel nem működik a dolognak teljesen, ugyanis az nsswitch.conf-t nem a fent emlitet howto szerint allitottam be - mert enélkül sehogysem működött a névfeloldás, nem tudom mi volt a hiba...

• Először az libnss-ldap ot kell konfigurálni :
  • LDAP server Uniform Resource Identifier: ldap://127.0.0.1
  • Distinguished name of the search base: dc=sask
  • LDAP version to use: 3
  • Does the LDAP database require login? No
  • Special LDAP privileges for root? Yes
  • Make the configuration file readable/writeable by its owner only? Yes
  • LDAP account for root: cn=admin,dc=sask
  • LDAP root account password: VALTOZTASS_MEG

• Frissítsük az /etc/nsswitch.conf fájlt :

passwd: compat ldap
group:  compat ldap
shadow: compat ldap
hosts: files dns ldap

• A legutolsó sorban van az amit említettem, ide én nem azt irtam amit a fent emlitett howto javasol, mert úgy nem működött a névfeloldás, FIXME. Viszont más howto szerint jó az amit en írtam : http://wiki.debian.org/LDAP/NSS

• Az /etc/ldap/ldap.conf fájlba módosítsuk a következőket :

host localhost
base dc=sask
binddn cn=admin,dc=sask
bindpw be
bind_policy soft
pam_password exop
timelimit 15

• Az /etc/libnss-ldap.conf fájlba módosítsuk a következőket :

bind_policy soft
pam_password md5

• Ellenőrizzük a /etc/libnss-ldap.secret fájlt (Ebben az ldap rootpwd nek kell lennie)

# cat /etc/libnss-ldap.secret

• A libpam-ldap ot a dpkg-reconfigure libpam-ldap al konfiguráljuk :

• • LDAP server Uniform Resource Identifier: ldap://127.0.0.1
  • Distinguished name of the search base: dc=sask
  • LDAP version to use: 3
  • Make local root Database admin. Yes
  • Does the LDAP database require login? No
  • LDAP account for root: cn=admin,dc=sask
  • LDAP root account password: VALTOZTASS_MEG
  • Local crypt to use when changing passwords. MD5

• Módosítsuk az /etc/pam_ldap.conf fájlt :

host 127.0.0.1
bind_policy soft
pam_password md5

• Ellenőrizzük a /etc/pam_ldap.secret fájt (Ebben az ldap rootpwd nek kell lennie)

# cat /etc/pam_ldap.secret

• A ket secret fájlnak természetesen 700 root:root jogosultságúnak kell lennie.

PAM beállítása

• Ezekután a PAM configurációt kell kicsit módosítani, itt is eltértem picit a fenti howto ban megadottól, jóval egyszerűbb beállítást alkalmaztam.

Az említett howto írja, hogy PAM-1.0.1-6 verziótól nem kell külön-külön szerkeszteni a PAM config fájlokat, hanem /usr/share/pam-configs/ldap fájlban egyhelyen megtehető minden. Akinek ilyen verziójú PAM ja van az olvassa el a megfelelő részt a hivatkozott Howto ban.

Viszont jelenleg lenny ben ennél kisebb verziójú PAM van, tehát a következőket kell tenni :

• /etc/pam.d/common-account

account sufficient pam_ldap.so
account required pam_unix.so try_first_pass

• /etc/pam.d/common-auth

auth sufficient pam_ldap.so
auth required pam_unix.so nullok_secure try_first_pass</nowiki>

• /etc/pam.d/common-password

password sufficient pam_ldap.so
password required pam_unix.so nullok obscure min=4 max=8 md5 try_first_pass

• /etc/pam.d/common-session

session required pam_unix.so
session optional pam_mkhomedir.so skel=/etc/skel/ umask=0077

Rendszer adminisztrációja

Felhasználók/csoportok kezelése

• Induláskor az udev keresni fog pár csoportot/usert, amelyeket nemfog találni, és panaszkodik erősen ezert ezeket vegyük fel (de NE az LDAP ba)

# addgroup --system nvram

# addgroup --system rdma

# addgroup --system fuse

# addgroup --system kvm

# addgroup --system scanner

# adduser --system --group --shell /usr/sbin/nologin --home /var/lib/tpm tss

• Viszont fontos hogy a többi csoportot/felhasználót NE a korábban megszokott adduser/useradd/addgroup/groupadd parancsokkal vigyük fel, hanem az smbldap-tools megfelelő parancsaival (mivel ezek a megfelelő séma szerinti LDAP bejegyzésekkel rögzítik azokat.

• Tehát az smbldap-tools parancsaival tudunk felvinni a felhasználókat, amelyekkel nem csak a sambaba, de a linux serverre is be tudunk lépni (ha minden klappol)

• Új samba felhasználó felvitele :

# smbldap-useradd -a felhasznalonev

• Új samba felhasználó jelszavának beállítása :

# smbldap-passwd felhasznalonev

• Új samba csoport felvitele :

# smbldap-groupadd -a csoportnev

• Felhasználó csoporthoz adása:

# smbldap-groupmod -m felhasznlonev csoportnev

• Ezek után a felvitt felhasználókkal be tudunk lépni a rendszerbe. Az alábbi paranccsal tudjuk ellenőrizni, hogy a rendszer az LDAP adatbázisból is authentikál :

# getent passwd

# getent group

Kliensek csatlakoztatása

• A windows kliensen domainbe léptetését nem nagyon részletezném, alap esetben nagyon egyszerű pl. XP prof esetén :
  • Sajátgép Tulajdonságok, Számítógépnév fül, Módosítás, Munkacsoport -> samba confban megadott domain név.
  • Ezek után egy az LDAP Domain Admins csoportban lévő felhasználót kell megadnunk (alapból pl. root)

• Xp Home-t nincs lehetőség sajnos Domainbe léptetni, viszont attól még hogy van a hálózaton ilyen windows csinálhatunk Samba domain controllert, csak az XP HOME gépen a hálózati meghajtók csatlakoztatását kliensre másolt loggin scriptekkel kell végezni.

Megosztott könyvtárak jogosultság szabályozása

• Lenny ben lévő samba verzióval tudomásom szerint csak a Posix ACL jogosultságok szintjéig lehet a kiajánlott felhasználói jogokat szabályozni, ezeket a setfacl és getfacl parancsokkal tudjuk a kiajánlott könyvtárakon beállítani linux alatt :

(Természetesen ha nincs szükségünk ACL szintű jogosultság kezelésre, akkor használhatjuk az alap linux jogosultság kezelő parancsokat : chown, chmod )

• pl.:

• adat1 könyvtárra adunk rwx jogot bela felhasználónak.

# setfacl -m u:rwx:bela /adat1

• adat1 könyvtárra adunk rwx default jogot bela felhasználónak. (azaz ha valamilyen fájlt készítenek adat1 könyvtárban akkor ahhoz automatikusan kap jogot bela)

# setfacl -d -m u:rwx:bela /adat1

• adat1 könyvtarra (és minden alkönyvtárára/fájlra rekurzívan) adunk r jogot okos csoportnak.

# setfacl -m g:r--:okos -R /adat1

• adat1 könyvtárra (és minden alkönyvtárára/fájlra rekurzívan) adunk r default jogot okos csoportnak. (azaz ha valamilyen fájlt készítenek adat1 könyvtárban akkor ahhoz automatikusan kap jogot okos csoport minden tagja)

# setfacl -d -m g:r--:okos -R /adat1

Egyéb adminisztrációt segítő eszközök

• Windows kliensen szabvány windows beépített programokkal van lehetőségünk a kiajánlott meghajtókon jogosultságokat állítani, de csak olyan gépen amely be van léptetve a domainbe (XP HOME on NEM) Listázhatjuk a sambaban lévő csoportokat és felhasználókat egyaránt, hozzáadhatunk és törölhetünk jogosultságokat a könyvtárakról.

Pl.:

• Intézőben adott könyvtáron jobb egérombos, tulajdonságok menüpont, biztonság fül, Hozzáadás, Speciális, Keresés most, ott válasszuk ki a kívánt csoportot felhasználót és adjuk meg a kívánt jogosultságot.

• DE sajnos linuxon csak a tulajdonos és root user tudja egy könyvtár/fájl jogosultságát szerkeszteni, ezt samban keresztül sem tudjuk kikerülni (a jelenlegi lenny ben lévő samba verzióval - frisebb samba verziókban vannak erre különféle megoldások állítólag)
• Tehát ha windowson keresztül akarunk jogosultságokat osztani könyvtárakon, akkor root al lépjünk be a domainbe a win kliensen, akkor minden jogot tudunk szerkeszteni.

• A csoportok és felhasználók kezelésére én a linux oldali smbldap-tools ajánlom, van ugyan egy SRVMGR (Server Manager),USRMGR (User Manager) menedszment program amely az SRVTOOLS csomagban elérhető

http://support.microsoft.com/kb/173673

De ezzel nekem voltak olyan rossz tapasztalataim, hogy ha egy felhasználó több csoport tagja volt, es a USRMGR programmal próbáltam módosítani a csoport tagságokat akkor egy csoport kivételével minden más csoportot törölt a felhasználótól, szóval nem az igazi...

• Valamint adott a PhpLdapAdmin felület, de ott meg egyik sablon segítségével sem tudtam olyan sémájú felhasználót felvinni amelyet az smbldap-useradd készített, így nemtudom hogy az megfelelő-e. Valamint a lenny ben lévő phpLdapAdmin ban pl. Firefox 3.5 alatt az új felhasználó felvitele egyáltalán nem működött nekem (IE vel simán ment...)

Egyéb megjegyzések

Local admin

• A windows kliensen ha Domain Admins csoportban lévő felhasználóval lépünk be, akkor elvileg a local gépen is admin csoportba kell kerülnünk (így tudunk felhasználókat módosítani/felvenni stb) de ha ez mégsem így lenne (nekem egyszer sikerült) akkor manuálisan is hozzáadhatjuk a falhasználót a local admins (Rendszergazdák) csoporthoz. Fontos hogy ezt csak local admin jogokkal redelkező felhasználóval tudjuk, tehát ha az aktuálisan felhasználónk nem az (valamiért) akkor lépjünk be olyan felhasználóval a windows kliensre amelyik az (pl. lépjünk ki domainből és régi felhasználónév)

• Win kliensen (parancssorba) legalább local admin jogú felhasználóval !

# net localgroup Rendszergazdák /add domain_nev\root

# net localgroup - ezzel listázza a létező csoportokat (KLIENSEN !)

# net localgroup Rendszergazdák - ezzel listázza a csoportban lévő usereket (KLIENSEN !)

CTRL-ALT-DEL login előtt

Win kliens amikor beléptetjük domainbe, automatikusan bekapcsolja azt, hogy bejelentkezés előtt a CTRL-ALT-DEL billentyűt meg kell nyomnunk, ezt ki tudjuk kapcsolni (parancssorba)

# control userpasswords2 , Speciális fül : "Ctrl-Alt-Del billentyűk kötelező megnyomása bejelentkezéskor" pipa