vchacal
(usa Debian)
Enviado em 30/09/2016 - 09:22h
NeoRickHunter escreveu:
Campacci escreveu:
NeoRickHunter escreveu:
Alguém pode dar uma luz?
O erro ocorre porque o seu linux não enxerga os usuários do LDAP (do seu domínio).
Então vc esta tentando dar permissão em uma pasta para um grupo que para o linux não existe.
Isso é normal acontecer, desde o samba 3 era assim. Para corrigir vc deve ler a respeito do
Winbind, pois com ele vc vai conseguir visualizar seus usuários LDAP (do seu domínio) e importar os usuários e grupos. Só depois é que vc deve dar as permissões, pois ai seu linux já vai estar visualizando os usuários do seu domínio.
Aqui tem bastantes dicas sobre esse assunto, da uma procurada. Tem na wiki oficial do samba também.
Não é muito complicado viu, o mais importante é vc entender o erro e a solução.
Detalhes:
Este link que vc esta seguindo:
https://wiki.samba.org/index.php/Shares_with_Windows_ACLs
Vc quer que seja criado a home dos usuários automaticamente certo. Pois é o que orienta fazer esse link.
Então
não é pelo Linux que deve ser setado a permissão, vc não esta seguindo a risca rsrsrsrs.
Veja que ele seta as permissões nos compartilhamentos gerenciados remotamente. Quando vc clica com o direito em Computador>Gerenciar ... ai vc conecta ao servidor samba, visualiza os compartilhamentos. (É aqui que vc deve trabalhar as permissões).
Agora sim, creio que eu vá conseguir avançar. Tenho certeza que este é o caminho.
Realmente eu observei que os grupos não estavam onde deveriam estar.
Quanto ao meu objetivo, não seria criar as pastas 'home' dos usuarios automaticamente, mas sim criar compartilhamentos e subcompartilhamentos, quebrar a herança de alguns deles e delegar os devidos direitos de acesso aos usuarios e grupos. Quanto à pasta base, seria uma pasta para todos os usuários do grupo. Mas quanto à isso, não haveria problema, pois com o básico funcionando, eu resolvo através do RSAT.
Aproveitando, eu queria tirar uma dúvida, se possível.
Na wiki do samba.org, em algum lugar, li que não é recomendado utilizar o PDC Samba 4 como servidor de arquivos, e deixar esta tarefa para um segundo AD. Você acha que devo seguir esta orientação, ou posso utilizar o primário como servidor de arquivos com segurança?
Fico muito agradecido pela direção que me apontou.
Forte abraço.
Na verdade o link:
https://wiki.samba.org/index.php/Shares_with_Windows_ACLs
(Serve sim para controlar demais compartilhamentos, não é apenas o home).
Fiz confusão com este link:
https://wiki.samba.org/index.php/User_home_drives
(Este sim é para criação e mapeamento da home dos usuários).
Desculpa se confundi vc também.
A questão do seu Linux enxergar os usuários e grupos do domínio é o winbind mesmo.
Vamos supor que vc não use o winbind e esta setando as permissões por ACL que é a forma do RSAT conforme o primeiro link aew:
- No RSAT vc vai conseguir visualizar os compartilhamentos e setar as permissões para os usuários e grupos do seu domínio.
- Ai vc vai no Linux e lista as pastas pra ver quem são os donos e grupos proprietários, sem o winbind vai aparecer uma identificação de ID extenso e que não da pra identificar. Então usamos winbind, para ele importar esses usuários e grupos, assim fica legível e vc consegue trabalhar as permissões no Linux também caso desejar.
Quanto ao servidor de arquivo é neste link que eles não recomendam usar o mesmo servidor:
https://wiki.samba.org/index.php/Setup_a_Samba_Active_Directory_Domain_Controller
(Lá em
Using a DC as a fileserver)
- Minha opinião é a seguinte, eles orientam mais não informa o motivo. Acho que é por boas praticas, pois são dois serviços críticos e se o servidor para? Vc fica sem domínio e sem arquivos.
- Até no samba 3 eu sigo essa pratica, Tenho um controlador de domínio e apenas compartilho o home dos usuários, em outro servidor tenho somente os arquivos compartilhados e com rotina de backup. (Ainda não coloquei o samba 4 em produção)
Imagina a sobrecarga deste servidor, um samba 4 usando o DNS SAMBA_INTERNAL deve suportar uns 400 usuários (chutando) pendurados. Isso o DNS que é essencial para o domínio, se ele parar ninguém consegue logar no seu domínio. Ai vc soma a preocupação com os arquivos rsrsrsrs. É tenso!
Se vc tiver condições de seguir a orientação do desenvolvedor é bom.
Agora senão tem condição, tipo não tem mais nenhum outro servidor ou o cliente não se dispõe a comprar. Faça em um só mesmo e expõe os riscos. E uma rotina de backup diário seria importante.