Как смонтировать папку Windows и обеспечить ее разрешения NTFS?

0

У меня есть существующий сервер Ubuntu. Пользователи уже подписывают его с учетными данными AD. Проблема заключается в том, что в файловой среде установлен подключенный файл - пользователи имеют доступ только к папкам, на которые у них есть разрешение. На сервере Ubuntu доступ к папке осуществляется с общей общей учетной записью, учетные данные для которой хранятся в скрытом файле в / etc / smbmounts. Мне поручено сделать это так, чтобы к папкам обращались с теми же учетными данными AD, которые пользователь использовал для входа в компьютер в первую очередь. Это резюме проблемы, особенности ниже:

Вот настройка:

/etc/krb5.conf выглядит так:

[libdefaults]

default_realm = DOMAIN.NAME

ticket_lifetime = 24h #

renew_lifetime = 7d

/etc/samba/smb.conf выглядит так:

[global]

workgroup = DOMAIN

client signing = yes

client use spnego = yes

kerberos method = secrets and keytab

realm = DOMAIN.NAME

security = ads

server signing = mandatory

/etc/sssd/sssd.conf:

[sssd]

domains = DOMAIN.name

config_file_version = 2

services = nss, pam

debug_level = 5

[domain/DOMAIN.name]

ad_domain = DOMAIN.name

krb5_realm = DOMAIN.NAME

realmd_tags = manages-system joined-with-adcli

cache_credentials = True

id_provider = ad

krb5_store_password_if_offline = True

default_shell = /bin/bash

ldap_id_mapping = True

use_fully_qualified_names = False

fallback_homedir = /home/domain/%u

#access_provider = ad

#ad_access_filter = (memberOf=cn=Linux Login Allowed,ou=Domain Groups,dc=Domain,dc=local

access_provider = simple

simple_allow_users = administrator

simple_allow_groups = Domain Admins, Linux Login Allowed

enumerate = true

Для разрешений sssd:

sudo chown root:root /etc/sssd/sssd.conf

sudo chmod 600 /etc/sssd/sssd.conf

Присоединиться к домену:

sudo kinit [insert domain admin username here]

sudo klist

sudo net ads join –k

Мы использовали PAM для установки папок Windows:

<debug enable="0" />

<!-- Volume definitions -->

<volume sgrp="Linux Login Allowed" fstype="cifs" server="fileshare" path="files/userdata/%(USER)/Documents/linux_home" mountpoint="/home/DOMAIN/%(USER)" options="dir_mode=0700,sec=ntlm"/>

<!-- pam_mount parameters: General tunables -->

<logout wait="5000" hup="1" term="2" kill="3" />

/ и т.д. / Fstab:

//fileshare/folder /folder cifs credentials=/etc/smbmounts/.folder,gid=1003,iocharset=utf8,file_mode=0770,dir_mode=0770,sec=ntlm 0 0

Я включил все, что мог подумать о этой установке, для полного раскрытия, но чтобы быть ясным, проблема не в установке домашней папки PAM. Это с fstab - что // fileshare / folder является общей папкой с разрешениями NTFS, которые раздражают меня.

Я думаю, было бы предпочтительнее, если бы я не сильно искал существующую настройку для разрешений для папок.

В идеале я хотел бы изменить fstab для поиска учетных данных из начальной настройки Samba / SSSD / Kerberos для аутентификации и входа в систему AD, а не для файла smbmounts, который содержит общее имя пользователя / пароль. Если возможно, один знак включен. Может ли быть так просто, и если да, то какие изменения нужно сделать?

Я ценю любую помощь, еще довольно новую для Linux в целом.

Сообщите мне, если больше информации нужно добавить / удалить, чтобы сделать эту тему более кратким.

    
задан sacocats 13.11.2017 в 19:37
источник

1 ответ

0

Спасибо за помощь, все! Я нашел ответ по этой ссылке, лучший ответ: Ссылка

PBIS не требовалось присоединяться к домену или получать аутентификацию, он работал без него.

    
ответ дан sacocats 05.12.2017 в 00:05