abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Notion Mail
    dnes 01:33 | IT novinky

    Společnost Notion Labs stojící za softwarovou platformou pro spolupráci Notion (Wikipedia) oficiálně představila (YouTube) poštovního klienta Notion Mail. Aktuálně funguje pouze nad Gmailem.

    Ladislav Hagara | Komentářů: 0
    DietPi 9.12
    včera 12:44 | Nová verze

    Byla vydána nová verze 9.12 z Debianu vycházející linuxové distribuce DietPi pro (nejenom) jednodeskové počítače. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Týden v GNOME a Týden v KDE Plasma (18. a 19. dubna 2025)
    20.4. 03:55 | Nová verze

    Na čem aktuálně pracují vývojáři GNOME a KDE Plasma? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE Plasma.

    Ladislav Hagara | Komentářů: 0
    Ubuntu 25.10 bude Questing Quokka
    19.4. 19:44 | Komunita

    Ubuntu 25.10 bude (𝕏) Questing Quokka (pátrající klokan quokka).

    Ladislav Hagara | Komentářů: 0
    Ubisoft uvolnil zdrojové kódy softwaru Chroma pro simulaci barvosleposti
    19.4. 11:55 | Zajímavý software

    Ubisoft uvolnil zdrojové kódy softwaru Chroma pro simulaci barvosleposti pro vývojáře počítačových her. K dispozici jsou na GitHubu pod licencí Apache 2.0.

    Ladislav Hagara | Komentářů: 0
    Herní engine Defold 1.10.0
    19.4. 02:00 | Nová verze

    Defold (Wikipedie) je multiplatformní herní engine. Nejnovější verze je 1.10.0. Zdrojové kódy jsou k dispozici na GitHubu. Licence vychází z licence Apache 2.0.

    Ladislav Hagara | Komentářů: 0
    Kyberzločinci útočili na pražskou Správu služeb
    18.4. 13:00 | Bezpečnostní upozornění

    Správa služeb hlavního města Prahy se potýká s následky kyberútoku. Hackerská skupina začala zveřejňovat na internetu některé z ukradených materiálů a vyzvala organizaci k vyjednávání. Ta zatím podrobnosti k případu sdělovat nechce. Případem se zabývá policie i Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).

    Ladislav Hagara | Komentářů: 3
    OCCT oficiálně na Linuxu
    18.4. 12:33 | Zajímavý software

    OCCT je oficiálně k dispozici na Linuxu (YouTube). Jedná se o proprietární software pro zátěžové testování a monitorování hardwaru.

    Ladislav Hagara | Komentářů: 2
    OpenAI o3 a o4-mini
    18.4. 02:44 | IT novinky

    Společnost OpenAI představila AI modely o3 a o4-mini (𝕏).

    Ladislav Hagara | Komentářů: 0
    Ubuntu 25.04 Plucky Puffin
    17.4. 17:55 | Nová verze

    Canonical vydal Ubuntu 25.04 Plucky Puffin. Přehled novinek v poznámkách k vydání. Jedná se o průběžné vydání s podporou 9 měsíců, tj. do ledna 2026.

    Ladislav Hagara | Komentářů: 1
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaký filesystém primárně používáte?
     (59%)
     (1%)
     (10%)
     (20%)
     (4%)
     (1%)
     (2%)
     (0%)
     (1%)
     (2%)
    Celkem 404 hlasů
     Komentářů: 18, poslední 17.4. 12:41
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Samba PDC + druha jako fileserver
    Štítky: ACL, domény, práva, Samba, server

    Dotaz: Samba PDC + druha jako fileserver

    7.8.2008 16:53 kamm
    Samba PDC + druha jako fileserver
    Přečteno: 912×

    Ahoj.

    Zapasim se Sambou. Mam rozchozenou sambu jako PDC (security=user). Mam druhou, na jinem stroji - chci ji jako souborovy server (s raidem, ale o tom pozdeji). Jak donutit druhou sambu, overovat uzivatele v domene a implementovat podporu acl - chtel bych klikat prava z Wokem (jako standard win server).

    Druha samba je v rezimu security=domain a je clenem domeny v PDC.

    Potreboval bych nakopnout. Uz s tim zapasim dlouho a nemuzu to vymyslet. Mate nekdo napad? Diky.

    Nástroje: Začni sledovat (2) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    7.8.2008 17:37 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    Pro podporu ACL musíte mít zkompilované jádro (souborový systém) s podporou ACL a Sambu s podporou ACL. ACL pod linuxem stále přiděluje jen práva rwx, takže jemné nastavování práv z Windows stejně nebude fungovat. Existuje možná nějaká možnost, jak ta detailní práva ukládat do rozšířených atributů, ale to by pak stejně byla jenom věc Samby a ostatní programy v linuxu by tato práva nerespektovaly.

    Nevidím v dotazu žádný problém ani otázku, takže k tomu těžko napsat něco víc…
    7.8.2008 17:47 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    Diky za reakci

    moyna jsem to napsal spatne. Pouzivam open suse 10.2 a 11. oSuse 10.2 je PDC a na nem vse frci dle predstav. Kazedmu uzivateli hodim co jeho jest. Prava z woken se ulozi a aplikuji. Kdezto z oS 11 jako podruzneho serveriku v domene, se po vybrani a aplikovani naklikana prava "ztrati" a misto nich se objevi pouze 5 identyt s nastavenymi pravy na 'jine opravneni'. Tyto identyty jsou EVERYONE, CREATOR OWNER, CREATOR GROUP, root(Unix users\root) a S-1-22-2.

    Jakoukoliv pridam identitu z domeny, tuknu aplikovat a opet se nastavi vyse zminene.

    -- kdezto na PDC toto pridelovani funguje..

    Kde delam chybu?
    7.8.2008 17:48 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    btw - podpora acl je a pouzivam - nastaveno ve fstab
    7.8.2008 17:57 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    Používáte nějakou synchronizaci linuxových účtů? Tj. že by třeba obě Samby i oba linuxové systémy pod nimi ověřovaly uživatele proti jednomu LDAPu. Také bych přes getfacl zkontroloval, jak vypadají ta nastavené práva z pohledu linuxu – tj. zda je problém při zápisu práv nebo při čtení.
    7.8.2008 18:02 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    Pro overovani pouzivam smbpasswd na PDC. Zde synchronizuji samba hesla na PDC lokalni uzivatele. Souborovy server pak overuje pres domenu pres sambu. Pouziti setfacl neni mozne, protoze na souborovem serveru ucty neexistuji - tedy alespon nevim jak to pouzit, pokud to lze..
    7.8.2008 18:13 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    Ony účty v pravém slova smyslu na linuxu neexistují – používá se pouze UID uživatele, a „účet“ znamená jenom to, že je někde tomuto UID přiřazeno jméno. Takže getfacl normálně můžete použít, pouze místo jmen uvidíte UID. Ale možná právě v té „neexistenci účtů“ na souborovém serveru je ten problém – Samba práva uloží s patřičným UID, ale když se pak Windows na práva zeptají, nedokáže UID převést zpět na jméno. Zkuste si pro otestování pro UID uživatele, na kterém to zkoušíte, vytvořit záznam v /etc/passwd, aby se převedl na jméno. Pokud to bude fungovat, musel byste zařídit, aby oba dva počítače používaly stejný seznam účtů i pro linux.
    7.8.2008 18:18 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    aha a mam vytvorit uzivatele pomoci passwd nebo jen vlozit zaznam rucne?
    (diky za trpelivost)
    7.8.2008 18:44 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    Asi je to jedno, ale vytvořil bych ten záznam ručně, ať se zbytečně nevytváří domovský adresář nebo něco podobného.
    7.8.2008 19:00 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    Vyzkouseno, nepomohlo.. :/
    7.8.2008 19:07 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    getent passwd UID vrátí správně jméno toho uživatele? Informace o uživatelích se můžou kešovat, a může je kešovat i samotná Samba, zkusil bych jí restartovat (a pokud používáte nscd, restartujte nejprve ten). Taky bych zkusil zvýšit úroveň logování Samby a podívat se do logů, jestli něco o převodu jmen nepíše tam.
    7.8.2008 19:33 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    getent mi vyhodi celej ten radek z passwd - spravne

    nasli jsme ted ale chybku v tom logu samby:

    samba file serveru pise:

    nb-honza-servis (::ffff:192.168.0.64) closed connection to service tmp-data
    [2008/08/07 19:16:54, 0] auth/auth_domain.c:domain_client_validate(259)
    domain_client_validate: unable to validate password for user karel in domain TUX-NET to Domain controller TUX.
    Error was NT_STATUS_WRONG_PASSWORD.
    7.8.2008 20:09 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    Je ten souborový server správně zařazen v doméně? Předpokládám tedy, že heslo zadáváte správné…
    7.8.2008 20:16 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    ted to resim take.. popravde mel jsem s tim problem nez se tam pripojil
    --
    snad to delam dobre, pripojim ho znovu

    na PDC smazu smbpasswd -x server$
    mam vytvoreneho sys uzivatele server (na PDC)
    pridam server do samby na PDC
    smbpasswd -a -m server


    na fileserveru spustim:
    net joint member -U root -S 192.168.0.100 -W TUX-NET


    takhle to jde.. ale chova se to, jak rikam.. delam to dobre?
    7.8.2008 20:42 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    fileserver navic pise po prikazu:

    wbinfo --domain=TUX-NET --user-info=karel
    could not get info for user karel
    wbinfo --own-domain
    could not obtain winbind interface details!
    could not obtain winbind domain name!
    TUX-NET
    7.8.2008 21:22 VSi | skóre: 28
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    Je v smb.conf nastaveno inherit acls = yes ? Třeba v Debianu je to po instalaci vypnuté a bez toho mi ACL z windows zrovna moc nefungují.

    Co se týče ACL, tak samozřejmě ve Windows vůči Sambě fungují trochu specificky, ale dá se na to zvyknout a pak je na to spoleh. Nesetkal jsem se zatím s nějakým nevysvětlitelným chováním. V rámci Windows ACL editoru se práva omezují na analogii rwx - tedy Nic / Čtení / Úplné řízení. Pak má smysl ještě nastavení Jen tato složka / Tato složka, podsložky a soubory - ta druhá možnost je mapována na default unix ACL.

    Pak asi nefunguje vynucené dědění práv, ale to podle mě není tak moc na škodu. Tohle omezení šlo snad obejít pomocí extended atributů, ale to asi funguje skutečně jen pro Sambu, jak tady někdo zmínil.

    Ohledně dvou (a více) serverů, které jsou oba na Sambě, bych doporučil vykašlat se na winbind a podobné obezličky a použít LDAP. Tím je úplně "přirozeně" všechno vyřešeno - unix účty přes nssswitch, všechny Samba servery berou údaje o uživatelích z LDAPu. Mám takhle několik serverů, z toho jeden se snapshot zálohami, kde je read-only replika LDAPu a uživatelé tedy při výpadku hlavního server mají přístup alespoň k záloze (zároveň je to BDC).
    7.8.2008 21:36 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    dobry den, zni to hezky, ale ejsem natolik kovany abych system na LDAP z fleku zprovoznil.
    mate nejake demo ci navod, ze ktereho by se dala okouknout myslenka?
    7.8.2008 22:15 VSi | skóre: 28
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    Nejdříve doporučuji zprovoznit samotný LDAP a nsswitch. Velmi pěkný článek tady na abclinuxu (do Kerbera bych se v tomto případě nepouštěl, tu část článku lze přeskočit):

    http://www.abclinuxu.cz/clanky/bezpecnost/kerberos-a-sso-jednotne-ucty-v-ldap

    Pozor na to, že se mezi distribucemi dost liší umístění konf. souborů nss-ldap - v článku /etc/ldap.conf a např. v Debianu /etc/libnss-ldap.conf

    Bude potřeba naimportovat stávající uživatele včetně Samba hesel ze smbpasswd do LDAPu. Na to se dají použít skripty z balíku smbldaptools. Já jsem to řešil vlastními skripty v bashi, které generují LDIF a posílají ho do ldapadd.

    Nevím kolik tam je uživatelů, podle toho bych řešil jak moc tu migraci automatizovat.

    Propojení Samby s LDAP je jednoduché - smb.conf: 
    passdb backend = ldapsam:ldap://localhost

ldap suffix = dc=domena,dc=cz
ldap admin dn = cn=admin,dc=domena,dc=cz
ldap delete dn = yes
ldap machine suffix = ou=machines
ldap group suffix = ou=groups
ldap user suffix = ou=users
ldap idmap suffix = ou=idmap # snad neni ani treba (nevyuziva se)
ldap passwd sync = yes

add machine script = /etc/scripts/ldap-machineadd %u
    Ten 
    add machine script
    slouží pro automatické vytvoření účtu PC při přidání do domény (lze použít i /usr/sbin/smbldap-useradd -w "%u" ze smbldap tools).

    Je třeba nastavit ještě heslo pro LDAP admin účet, aby Samba mohla do LDAPu zapisovat: 
    smbpasswd -w LdapAdminHeslo
    U nových uživatelů stačí v LDAPu založit unix účet (nedávám mu ani heslo) a Samba parametry přidat klasicky: 
    smbpasswd -a login
    kdy se nastaví Samba heslo a zároveň i unix heslo přes synchronizaci Samby.

    Dobrý popis LDAPu (česky) je taky tady:

    http://ldap.zdenda.com/

    Základní je zprovoznit LDAP server a podrobnosti okolo Samby už jsou pak přehledně vysvětleny v Samba HOWTO Collection.
    7.8.2008 22:35 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    zatim dekuji - uz zacinam byt v koncich - jdu do toho..
    8.8.2008 03:48 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    tak fajn, jsem rad, ze jsem poslechl :) nebyla to sranda (jsem v linuxovych vodach lama), ale skoro hotovo. Externimu overovani jsem se celou dobu branil a nakonec to bude parada.
    Dekuji vsem za prispevky!! Moc jste mi pomohli. Ocenuji!
    ted uz k t PDC s LDAP pripojimtu druhou a hotovo, doufam, ze se jeste neco neukaze :D
    8.8.2008 12:48 VSi | skóre: 28
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    To jsem rád. Ještě upozorním na jednu věc, která se mi stala (na Debianu).

    Při napojení druhé Samby, která nebyla nastavena jako Domain Controller, tj. domain logons = no, na LDAP se v LDAPu vytvořil druhý záznam: 

      SambaDomainName = NETBIOS_JMENO_DRUHEHO_SERVERU

    (oba servery mají security = user)

    Toto bylo třeba ponechat a nastavit novému SambaDomainName stejný SID jako má PDC. To jsem udělal editací LDAPu, teoreticky by asi šlo použít i net setlocalsid.

    Uživatele je teoreticky možné do Samby přidávat na obou serverech, ale doporučil bych to dělat jen na tom, který je PDC.
    8.8.2008 13:00 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    ok

    jak mam ale tu druhou donutit aby prohledavala TUX-NET?

    ymenil jsem to SID, ale ve v dialgu widli pro prochazeni prav vidim stale jen SERVER
    8.8.2008 14:32 VSi | skóre: 28
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    To je v pořádku. Teď jsem to testoval - na serveru, který není PDC jsem zkoušel nastavit ACL z Windows a bez problémů. Skutečně se neukazuje název domény, ale DRUHY_SERVER\Uzivatel což funkci nijak nevadí. Důležitá je shoda SID.

    Máš na tom druhém serveru povolené inherit acls = yes a nt acl support = yes? Co když nastavíš něco přes setfacl - je to vidět ve Windows?

    Důležité také je, že ACL smí měnít jen vlastník souboru / složky. Zkus ve Windows vytvořit novou složku a na té pak nastavit ACL.
    8.8.2008 14:42 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    nefunguje

    vztvorim adr. ve widlich
    kouknu = getfacl mi vyhodi ze je roota
    mrknu ve widlich na prava a nejdou menit - ani u roota si nizmenim nic, nikoho nepridam, nesmazu :(

    8.8.2008 15:08 VSi | skóre: 28
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    Ve Windows jsi přihlášený jako root? Zkusil bych to nejdřív pod nějakým obyčejným uživatelem. Když přes setfacl v Linuxu přidáš nějaká práva dalšímu uživateli, je to ve Windows vidět?
    8.8.2008 13:17 kamm | skóre: 2
    Rozbalit Rozbalit vše Re: Samba PDC + druha jako fileserver
    aaa - uz!
    chtelo chvili vydrzet

    furt ale nejdou prava priradit. Po kliknuti ve widlich na pouzit (u upraveneho rights listu) zmeny utecou..

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.