Differences between revisions 9 and 10
Revision 9 as of 2020-06-10 14:55:19
Size: 5289
Editor: Kurgan
Comment:
Revision 10 as of 2020-06-26 18:04:21
Size: 5314
Editor: Kurgan
Comment:
Deletions are marked like this. Additions are marked like this.
Line 44: Line 44:
  * Togliere "everyone"

Creazione di uno share di tipo home

DOCUMENTO PRELIMINARE INCOMPLETO

Riferimento: https://wiki.samba.org/index.php/User_Home_Folders

Lo scopo e` quello di avere degli share privati per i vari utenti, compatibili con il metodo usato di recente in Windows. Il nome dello share, "users", e` quello che usa windows di default e lo voglio mantenere. Gli share degli utenti saranno visibili sotto lo share "users" in una directory con il nome dell'utente, accessibile ovviamente solo all'utente.

  • Prima di tutto, configurare lo share in Samba: 
    [users]
         path = /home/%D/
         read only = No
         map acl inherit = yes
         #store dos attributes = yes # solo su samba di versione precedente alla 4.9.0

  • Creare il percorso di base delle home, in questo caso e` /home/NOME_DOMINIO, quindi diciamo /home/MBUTI.

  • Ricaricare samba con il comando 
    smbcontrol all reload-config

  • Configurare i permessi minimi per permettere agli amminstratori di gestire lo share da windows. Qui uso "domain admins" ma se avete dato il permesso SeDiskOperatorPrivilege a qualcun altro potete usare questo qualcun altro: 

    mkdir /home/NOMEDOMINIO
chown root."domain admins" /home/NOMEDOMINIO
  • Attenzione: i permessi di tutto l'albero di directory precedente devono contenere rx per tutti, ovvero "other" deve avere "rx" se (come è logico) il path precedente è di "root.root". Se i permessi dell'albero precedente non permettono "rx" a tutti, probabilmente succede che i vari gruppi e account speciali di Samba (di Windows, a dire il vero) non hanno accesso, e nemmeno il gruppo "domain users" ce l'ha. Il risultato è che riceverete errori mentre cercate di impostare i permessi da windows, e che gli utenti non accedereanno alle loro home. L'errore che ho ricevuto io è questo: 
    Il criterio di controllo corrente per il computer specificato non ha attivato il controllo. Se il criterio di protezione dei computer proviene dal dominio, chiedere a un amministratore di dominio di attivare l' Editor criteri di gruppo. In caso contrario, utilizzare l' Editor criteri del computer locale per configurare i criteri di controllo del computer localmente.

    Io spero che ci sia una giustizia divina per chi scrive simili messaggi di errore

Configurazione dei permessi da Windows

Da un client windows, modificare i permessi dello share home appena creato.

  • Eseguire "Gestione Computer"
  • Connettersi a un altro computer, e selezionare il server samba
  • Espandere "Utilità di sistema" / "Cartelle condivise"
  • Andare alle proprieta` del nuovo share "users" (basta farci doppio click sopra)
  • Cliccare sul tab "Autorizzazioni condivisione" e modificare le autorizzazzioni come segue:
    • Aggiungere "domain users" con autorizzazione modifica e lettura
    • Aggiungere "domain admins" con autorizzazione "controllo completo", "modifica", "lettura"
    • Togliere "everyone"
  • Cliccare sul tab "sicurezza"
    • Cliccare "avanzate" e poi "cambia autorizzazioni"
    • Se siete in windows 7, togliere il check da "Includi autorizzazioni ereditabili ..."
    • Se siete in windows 10, cliccate il bottone "Disabilita ereditarietà"
  • Rimanendo dentro alle impostazioni avanzate, modificare i permessi in modo da ottenere questa impostazione:
    • Domain Admins: controllo completo / "la cartella selezionata, le sottocartelle e i files"
    • CREATOR OWNER: controllo completo / "solo sottocartelle e files" (questo c'era gia` e lo lasciamo)
    • Domain users: Lettura ed esecuzione / "solo la cartella selezionata"
  • Nota: la colonna "ereditato da" deve contenere "NESSUNA" in tutte le righe.

Configurazione degli utenti

Di default gli utenti non hanno una home definita, ne` un mapping della stessa.

Il mapping puo` essere definito da Linux usando pdbedit, o da Windows usando il gestore utenti. Se lo si fa da Windows, e` possibile farlo anche selezionando utenti multipli, il che rende molto piu` veloce l'operazione. Facendo il mapping da Windows, vengono anche generate automaticamente le directory dei singoli utenti sotto a /home/MBUTI.

  • Aprire "Utenti e computer di Active Directory"
  • Selezionare uno o piu` utenti
  • Cliccare destro, e scegliere "proprieta`"
  • Selezionare il tab "profilo"
  • Selezionare il box "Home directory", poi "Connetti", e selezionare un disco che vogliamo mappare come home

  • Inserire il percorso SMB della home, nella forma \\server\users\%USERNAME%, quindi nel nostro caso per esempio e` \\samba4\users\%USERNAME%. Usando la variabile %USERNAME% mi risparmio di indicare il nome utente di ogni utente singolarmente.

A questo punto puo` essere che, se vi sono alcune home gia` create, Windows vi segnali un errore perche` non puo` crearla. Questo non e` un problema.

Test

  • Ogni utente dovrebbe mappare automaticamente la sua home al login
  • Andando a mano sullo share "\\server\home" si dovrebbero vedere le home di tutti gli utenti.
    • Come Administrator, posso entrare nella home di chiunque
    • Come utente normale, non posso accedere alle home degli altri
  • (opzionale) entrando in ssh sulla macchina con uno username di Samba, posso accedere alla mia home correttamente.

Samba4/CreazioneHomeShare (last edited 2020-06-26 18:04:21 by Kurgan)