Salut,
Après avoir épluché 50 docs toutes différentes concernant l'intégration d'un serveur samba dans un domaine AD et tenté sur IRC, je tente ma chance ici.
Voilà le concept:
Serveur Debian stable avec
- Samba
- Kerberos
- SSSD
- Client LDAP
L'idée est de pouvoir modifier les droits d'accès aux différents partages et dossiers en utilisant les outils windows.
La conf Kerberos semble fonctionner, j'ai pu intégrer la machine au domaine et je peux me loguer sur un partage samba depuis windows sans problème en utilisant mes identifiants AD
Lorsque je crée un nouveau fichier dans mon partage, je vois bien qu'il m'appartient et à mon groupe quand je le liste depuis mon shell linux
Pour la gestion des droits depuis le client windows, j'ai rajouté ça dans ma conf samba
Citation :
vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes
|
Lorsque je modifie les droits d'un dossier, ça semble bien fonctionner mais lorsque je ferme ma session et que je reviens sur mon partage, j'ai ça qui s'affiche
Il n'arrive donc plus a faire la correspondance entre les UID et les noms d'utilisateurs/groups 
Donc en gros je me demandais:
- y aurait-il quelqu'un sur cette terre qui a une doc valable pour une config de ce type ?
- quels sont les bonnes pratiques pour la création d'un dossier partagé ? chmod 777 ? chown root:root ? ou dois-je faire ça autrement ?
- dans un domaine récent, il faut utiliser winbind, SSSD, aucun des 2 ? tout le monde a sa sauce mais personne ne peut expliquer pourquoi
Bref, je deviens dingue avec cette histoire 
Ma conf SAMBA:
Citation :
[global]
workgroup = MYDOMAIN
server string = monserveur.mydomain.com
netbios name = monserveur
realm = MYDOMAIN.COM
password server = AD1.MYDOMAIN.COM
security = ADS
min protocol = SMB2
client signing = mandatory
server signing = mandatory
usershare allow guests = no
kerberos method = secrets and keytab
dedicated keytab file = /etc/krb5.keytab
wins server = 1.2.3.4
hosts allow = 1.2.3 3.4.5
dns proxy = no
local master = no
domain master = no
allow dns updates = disabled
log file = /var/log/samba/log.%m
max log size = 1000
log level = 3
max log size = 3000
template shell = /bin/bash
deadtime = 30
panic action = /usr/share/samba/panic-action %d
##Use windows ACL to apply access rights from windows computers
vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes
passdb backend = tdbsam
encrypt passwords = yes
username map = /etc/samba/smbusers
username map script = /bin/echo
obey pam restrictions = yes
unix password sync = no
map untrusted to domain = yes
usershare allow guests = no
load printers = no
disable spoolss = yes
[MONSHARE]
path = /storage/monshare
comment = Storage
valid users = @group1 @group2
force group = group1
browsable = yes
writable = yes
read only = no
guest ok = no
create mask = 0770
force create mode = 0600
force directory mode = 0770
hide unreadable = yes
|
ma conf KERBEROS
ma conf SSSD
Citation :
# Configuration for the System Security Services Daemon (SSSD)
[sssd]
config_file_version = 2
services = nss, pam
domains = MYDOMAIN
# Configuration for the AD domain
[domain/MYDOMAIN]
id_provider = ad
access_provider = ad
sudo_provider = none
ldap_id_mapping = true
fallback_homedir = /home/%d/%u
default_shell = /bin/bash
|
---------------
My makes - flickr - galerie HFR
FORUM HardWare.fr
