SAMBA DC - нет доступа к сетевым шарам у Windows пользователей

0

2

Здравствуйте, форумчане!

Сделал домашний линукс сервер на Debian в первую очередь для персонального облака, ну и чтобы детям сделать настройки входа по времени через настройки учеток в домене.

Версия Debian:

Distributor ID: Debian
Description:    Debian GNU/Linux 12 (bookworm)
Release:        12
Codename:       bookworm

Облако все ОК. Поднял DC на SAMBA. Домен работает, сервер имен работает, компы в домен добавлячются, учетки админятся - с этим все ОК. До этого с SAMBA признаюсь не работал, с Linux знаком по администрированию WEB серверов.

Решил до кучи сделать сетевую папку для обмена информацией (не сильно надо, так как и через Keenetic с USB диском все работает, но чисто из принципа раз есть сервер на нем есть некоторое дисковое пространство - надо сделать). Вот тут вышла незадача. Читал уже много инструкций, пробовал настраивать с разными опциями - все бестолку: папка есть но пишет что нет прав доступа к ней даже у Domain Admins и просто Administrator. Под локальными юзерами винды просит доменный логин и пароль - далее результат тот же.

Версия SAMBA:

Version 4.17.12-Debian

Конфиг SAMBA:

# Global parameters
[global]
        dns forwarder = 192.168.10.1
        netbios name = HOME
        realm = HOME.SRV
        server role = active directory domain controller
        workgroup = HOME
[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[netlogon]
        path = /var/lib/samba/sysvol/home.srv/scripts
        read only = No

Системные папки sysvol и netlogon работают под доменными юзерами и доступ к ним соответствует вкладке Безопасность Windows (под локальными).

Свою папку, ну условно PUBLIC, пробовал создать с разными настройками и в совсем простом варианте как sysvol в конфиге выше и с указание групп и различных опций типа valid users, write users, writable=yes и пр. - результат не меняется. Права к папке давал как для sysvol, давал права конкретным группам или юзерам домена типа Users\Administrator. Chmod делал для теста 777. То же самое. Пробовал скопировать папку SYSVOL с другим именем и установить для нее настройки как для SYSVOL - бестолку в SYSVOL пускает в мою папку нет.

На всякий случай поставил Webmin как UI для SAMBA и попробовал провернуть операцию через него - ничего не меняется. Шара создается, директория на диске тоже создается - доступа нет.

Явно что-то упускаю, в какую сторону копать?!

←	Bacula если делать бекап образа с битых дисков, будут ли перенесены ошибки битых сектаров на новую вм?

Proxmox + HyperThreading: выключать или нет

→

Когда микрософт что-то делала для людей?

shTigrits ★★★
(17.04.24 14:00:09 MSK)

Ответ на: комментарий от shTigrits 17.04.24 14:00:09 MSK

Тоже как вариант традиционно грешил в том числе и на мелкомягких, но дело в том что на компьютерах уже включен SMB1 (чтобы работать с шарами Keenetic, кажется из этой же статьи на https://winitpro.ru комманду включения и брал) при этом штатные шары SAMBA, необходимые для работы DC (sysvol и netlogon) на данном Linux сервере с Windows машин открываются корректно под доменными юзерами и права доступа соответствуют ролям.

rfilimonov
(17.04.24 16:31:43 MSK) автор топика

локальные права позволяют стучатся в эти директории SAMBA?

splinter ★★★★★
(17.04.24 17:00:08 MSK)

Ответ на: комментарий от splinter 17.04.24 17:00:08 MSK

Да позволяет, вот например делаю в /var/lib/samba рядом со служебной папкой sysvol папку public с такими же владельцами, а прав даю больше 777:

 ls -la
drwxrwxrwx   2 root BUILTIN\administrators   4096 апр 16 20:26 public
drwxrwx---+  3 root BUILTIN\administrators   4096 апр 14 22:26 sysvol

В smb.conf

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[public]
        public = yes
        path = /var/lib/samba/public
        writeable = yes

в итоге в sysvol пускает в public - нет.

В чем прикол?

rfilimonov
(17.04.24 21:50:49 MSK) автор топика

Ответ на: комментарий от rfilimonov 17.04.24 21:50:49 MSK

А да текст ошибки:

Нет доступа к \\home.srv\public. Возможно, у вас нет прав на использование этого сетевого ресурса. Обратитесь к администратору этого сервера для получения соответствующих прав доступа.

Элемент не найден.

rfilimonov
(17.04.24 21:59:22 MSK) автор топика

Ответ на: комментарий от rfilimonov 17.04.24 21:59:22 MSK

Где конфигурация ресурса public?

А так, скорее всего, нужно включить на файловой системе и в настройках самба поддержку ACL и назначить права доступа через setfacl или вкладку «Безопасность» в Windows, в свойствах ресурса или в секции global пропиши admin users и укажи там, например группу «Администраторов домена» для управления из под Windows через вкладку «Безопасность» правами на ресурс (файловую систему).

anonymous
(17.04.24 23:55:50 MSK)

Сделал домашний линукс сервер на Debian…

До этого с SAMBA признаюсь не работал …

Если выбор дистрибутива не критичен, то можно без плясок с бубном поднять DC SAMBA на openSUSE Leap 15.5 скриптом:

https://www.opennet.ru/tips/3240_opensuse_samba_dns_dhcpd_postfix_vsftpd_ldap.shtml

…

http://togusak.ddnss.de/server/

demo13
(18.04.24 01:52:33 MSK)
Последнее исправление: demo13 18.04.24 01:55:17 MSK (всего исправлений: 1)

Ответ на: комментарий от anonymous 17.04.24 23:55:50 MSK

Таки да, очень похоже что в этом дело, из винды к сожалению не давало редактировать права (вкладка Безопасность недоступна):

getfacl /var/lib/samba/sysvol
getfacl: Removing leading '/' from absolute path names
# file: var/lib/samba/sysvol
# owner: root
# group: BUILTIN\\administrators
user::rwx
user:root:rwx
user:BUILTIN\\administrators:rwx
group::rwx
group:BUILTIN\\administrators:rwx
group:BUILTIN\\server\040operators:r-x
group:NT\040Authority\\system:rwx
group:NT\040Authority\\authenticated\040users:r-x
mask::rwx
other::---
default:user::rwx
default:user:root:rwx
default:user:BUILTIN\\administrators:rwx
default:group::---
default:group:BUILTIN\\administrators:rwx
default:group:BUILTIN\\server\040operators:r-x
default:group:NT\040Authority\\system:rwx
default:group:NT\040Authority\\authenticated\040users:r-x
default:mask::rwx
default:other::---

getfacl /var/lib/samba/public
getfacl: Removing leading '/' from absolute path names
# file: var/lib/samba/public
# owner: root
# group: BUILTIN\\administrators
user::rwx
group::rwx
other::rwx

Сейчас пока не могу проверить помогло или нет - доступ только к SSH есть.

rfilimonov
(18.04.24 13:43:42 MSK) автор топика

←	Bacula если делать бекап образа с битых дисков, будут ли перенесены ошибки битых сектаров на новую вм?

Admin

Proxmox + HyperThreading: выключать или нет

→

Похожие темы