|
Size: 3666
Comment:
|
← Revision 10 as of 2020-06-26 18:04:21 ⇥
Size: 5314
Comment:
|
| Deletions are marked like this. | Additions are marked like this. |
| Line 7: | Line 7: |
| Lo scopo e` quello di avere degli share privati per i vari utenti, compatibili con il metodo usato di recente in Windows. Il nome dello share, "users", e` quello che usa windows di default e lo voglio mantenere. | Lo scopo e` quello di avere degli share privati per i vari utenti, compatibili con il metodo usato di recente in Windows. Il nome dello share, "users", e` quello che usa windows di default e lo voglio mantenere. Gli share degli utenti saranno visibili sotto lo share "users" in una directory con il nome dell'utente, accessibile ovviamente solo all'utente. |
| Line 15: | Line 16: |
| # the next line is only required on Samba versions less than 4.9.0 store dos attributes = yes |
#store dos attributes = yes # solo su samba di versione precedente alla 4.9.0 |
| Line 18: | Line 18: |
| * Creare il percorso di base delle home, in questo caso e` {{{/home/NOME_DOMINIO}}}, quindi diciamo {{{/home/MBUTI}}}. Non mi preoccupo adesso di modificarne i permessi. | * Creare il percorso di base delle home, in questo caso e` {{{/home/NOME_DOMINIO}}}, quindi diciamo {{{/home/MBUTI}}}. |
| Line 23: | Line 23: |
| * Configurare i permessi minimi per permettere agli amminstratori di gestire lo share da windows. Qui uso "domain admins" ma se avete dato il permesso {{{SeDiskOperatorPrivilege}}} a qualcun altro potete usare questo qualcun altro: {{{ mkdir /home/NOMEDOMINIO chown root."domain admins" /home/NOMEDOMINIO }}} * Attenzione: i permessi di tutto l'albero di directory precedente devono contenere rx per tutti, ovvero "other" deve avere "rx" se (come è logico) il path precedente è di "root.root". Se i permessi dell'albero precedente non permettono "rx" a tutti, probabilmente succede che i vari gruppi e account speciali di Samba (di Windows, a dire il vero) non hanno accesso, e nemmeno il gruppo "domain users" ce l'ha. Il risultato è che riceverete errori mentre cercate di impostare i permessi da windows, e che gli utenti non accedereanno alle loro home. L'errore che ho ricevuto io è questo: {{{ Il criterio di controllo corrente per il computer specificato non ha attivato il controllo. Se il criterio di protezione dei computer proviene dal dominio, chiedere a un amministratore di dominio di attivare l' Editor criteri di gruppo. In caso contrario, utilizzare l' Editor criteri del computer locale per configurare i criteri di controllo del computer localmente. }}} '''Io spero che ci sia una giustizia divina per chi scrive simili messaggi di errore''' |
|
| Line 29: | Line 38: |
| * Connettersi a un altro computer, e selezionare il server * Andare alle proprieta` del nuovo share "home" * Modificarne le proprieta` di "sicurezza" * Cliccare "avanzate" e poi "cambia autorizzazioni" * Togliere il check da "Includi autorizzazioni ereditabili ...". * Rimanendo dentro alle impostazioni avanzate, rimuovere tutti i permessi impostati. * Cliccando "aggiungi", aggiungere i seguenti permessi * Authenticated Users: Read & Execute, List Folder Contents, Read * Creator Owner: Full Control (si applica solo alle sottocartelle ei ai files, e` cosi` di default e va bene) * Domain Admins: Full Control * System: Full Control |
* Connettersi a un altro computer, e selezionare il server samba * Espandere "Utilità di sistema" / "Cartelle condivise" * Andare alle proprieta` del nuovo share "users" (basta farci doppio click sopra) * Cliccare sul tab "Autorizzazioni condivisione" e modificare le autorizzazzioni come segue: * Aggiungere "domain users" con autorizzazione modifica e lettura * Aggiungere "domain admins" con autorizzazione "controllo completo", "modifica", "lettura" * Togliere "everyone" * Cliccare sul tab "sicurezza" * Cliccare "avanzate" e poi "cambia autorizzazioni" * Se siete in windows 7, togliere il check da "Includi autorizzazioni ereditabili ..." * Se siete in windows 10, cliccate il bottone "Disabilita ereditarietà" * Rimanendo dentro alle impostazioni avanzate, modificare i permessi in modo da ottenere questa impostazione: * Domain Admins: controllo completo / "la cartella selezionata, le sottocartelle e i files" * CREATOR OWNER: controllo completo / "solo sottocartelle e files" (questo c'era gia` e lo lasciamo) * Domain users: Lettura ed esecuzione / "solo la cartella selezionata" * Nota: la colonna "ereditato da" deve contenere "NESSUNA" in tutte le righe. |
| Line 41: | Line 55: |
| == Configurazione dei permessi da Linux == | |
| Line 43: | Line 56: |
| Per consentire l'accesso in shell sulla macchina Linux, occorre che lo share home (in questo caso /home/MBUTI) sia accessibile al gruppo degli utenti. In questa installazione il gruppo degli utenti e` "users", e quindi dobbiamo fare un {{{ setfacl -m g:users:rwx /home/MBUTI/ }}} |
|
| Line 60: | Line 69: |
| * Inserire il percorso SMB della home, nella forma {{{\\server\home\%USERNAME%}}}, quindi nel nostro caso per esempio e` {{{\\samba4\home\%USERNAME%}}}. Usando la variabile %USERNAME% mi risparmio di indicare il nome utente di ogni utente singolarmente. | * Inserire il percorso SMB della home, nella forma {{{\\server\users\%USERNAME%}}}, quindi nel nostro caso per esempio e` {{{\\samba4\users\%USERNAME%}}}. Usando la variabile %USERNAME% mi risparmio di indicare il nome utente di ogni utente singolarmente. |
Creazione di uno share di tipo home
DOCUMENTO PRELIMINARE INCOMPLETO
Riferimento: https://wiki.samba.org/index.php/User_Home_Folders
Lo scopo e` quello di avere degli share privati per i vari utenti, compatibili con il metodo usato di recente in Windows. Il nome dello share, "users", e` quello che usa windows di default e lo voglio mantenere. Gli share degli utenti saranno visibili sotto lo share "users" in una directory con il nome dell'utente, accessibile ovviamente solo all'utente.
- Prima di tutto, configurare lo share in Samba:
[users] path = /home/%D/ read only = No map acl inherit = yes #store dos attributes = yes # solo su samba di versione precedente alla 4.9.0 Creare il percorso di base delle home, in questo caso e` /home/NOME_DOMINIO, quindi diciamo /home/MBUTI.
- Ricaricare samba con il comando
smbcontrol all reload-config
Configurare i permessi minimi per permettere agli amminstratori di gestire lo share da windows. Qui uso "domain admins" ma se avete dato il permesso SeDiskOperatorPrivilege a qualcun altro potete usare questo qualcun altro:
mkdir /home/NOMEDOMINIO chown root."domain admins" /home/NOMEDOMINIO
- Attenzione: i permessi di tutto l'albero di directory precedente devono contenere rx per tutti, ovvero "other" deve avere "rx" se (come è logico) il path precedente è di "root.root". Se i permessi dell'albero precedente non permettono "rx" a tutti, probabilmente succede che i vari gruppi e account speciali di Samba (di Windows, a dire il vero) non hanno accesso, e nemmeno il gruppo "domain users" ce l'ha. Il risultato è che riceverete errori mentre cercate di impostare i permessi da windows, e che gli utenti non accedereanno alle loro home. L'errore che ho ricevuto io è questo:
Il criterio di controllo corrente per il computer specificato non ha attivato il controllo. Se il criterio di protezione dei computer proviene dal dominio, chiedere a un amministratore di dominio di attivare l' Editor criteri di gruppo. In caso contrario, utilizzare l' Editor criteri del computer locale per configurare i criteri di controllo del computer localmente.
Io spero che ci sia una giustizia divina per chi scrive simili messaggi di errore
Configurazione dei permessi da Windows
Da un client windows, modificare i permessi dello share home appena creato.
- Eseguire "Gestione Computer"
- Connettersi a un altro computer, e selezionare il server samba
- Espandere "Utilità di sistema" / "Cartelle condivise"
- Andare alle proprieta` del nuovo share "users" (basta farci doppio click sopra)
- Cliccare sul tab "Autorizzazioni condivisione" e modificare le autorizzazzioni come segue:
- Aggiungere "domain users" con autorizzazione modifica e lettura
- Aggiungere "domain admins" con autorizzazione "controllo completo", "modifica", "lettura"
- Togliere "everyone"
- Cliccare sul tab "sicurezza"
- Cliccare "avanzate" e poi "cambia autorizzazioni"
- Se siete in windows 7, togliere il check da "Includi autorizzazioni ereditabili ..."
- Se siete in windows 10, cliccate il bottone "Disabilita ereditarietà"
- Rimanendo dentro alle impostazioni avanzate, modificare i permessi in modo da ottenere questa impostazione:
- Domain Admins: controllo completo / "la cartella selezionata, le sottocartelle e i files"
- CREATOR OWNER: controllo completo / "solo sottocartelle e files" (questo c'era gia` e lo lasciamo)
- Domain users: Lettura ed esecuzione / "solo la cartella selezionata"
- Nota: la colonna "ereditato da" deve contenere "NESSUNA" in tutte le righe.
Configurazione degli utenti
Di default gli utenti non hanno una home definita, ne` un mapping della stessa.
Il mapping puo` essere definito da Linux usando pdbedit, o da Windows usando il gestore utenti. Se lo si fa da Windows, e` possibile farlo anche selezionando utenti multipli, il che rende molto piu` veloce l'operazione. Facendo il mapping da Windows, vengono anche generate automaticamente le directory dei singoli utenti sotto a /home/MBUTI.
- Aprire "Utenti e computer di Active Directory"
- Selezionare uno o piu` utenti
- Cliccare destro, e scegliere "proprieta`"
- Selezionare il tab "profilo"
- Selezionare il box "Home directory", poi "Connetti", e selezionare un disco che vogliamo mappare come home
Inserire il percorso SMB della home, nella forma \\server\users\%USERNAME%, quindi nel nostro caso per esempio e` \\samba4\users\%USERNAME%. Usando la variabile %USERNAME% mi risparmio di indicare il nome utente di ogni utente singolarmente.
A questo punto puo` essere che, se vi sono alcune home gia` create, Windows vi segnali un errore perche` non puo` crearla. Questo non e` un problema.
Test
- Ogni utente dovrebbe mappare automaticamente la sua home al login
- Andando a mano sullo share "\\server\home" si dovrebbero vedere le home di tutti gli utenti.
- Come Administrator, posso entrare nella home di chiunque
- Come utente normale, non posso accedere alle home degli altri
- (opzionale) entrando in ssh sulla macchina con uno username di Samba, posso accedere alla mia home correttamente.