Пользователь нового файла в Папке Samba AD

[zhukovia]

Установлен SambaAD по этой инструкции
smb.conf

Код: [Выделить]

[global]
dns forwarder = 77.88.8.8
netbios name = SAMBASERVER
realm = SIBPUSH.LOC
server role = active directory domain controller
workgroup = SIBPUSH
#Отключение Netbios
disable netbios = yes
smb ports = 445
#Отключение роли сервера печати
printcap name = /dev/null
load printers = no
disable spoolss = yes
printing = bsd
#Отключение NTLMv1
ntlm auth = mschapv2-and-ntlmv2-only
#Генерация дополнительных хешей паролей
password hash userPassword schemes = CryptSHA256 CryptSHA512

kerberos method = system keytab
idmap config * : backend = tdb
[personal]
    path = /pcdirs/users/%U
    read only = No
    create mask = 0640
    directory mask = 0750
    map acl inherit = yes
    store dos attributes = yes
    inherit permissions = yes
подключаю шару на другом хосте через pam_mount
pam_mount.conf.xml

Код: [Выделить]

<volume sgrp="b_user" uid="10000-2000200000" fstype="cifs" server="sambaserver.test.loc" path="personal" mountpoint="~/net_files/personal" options="user,noacl,iocharset=utf8,rw,sec=krb5" />при копировании файла, на сервере получаю такие права

Код: [Выделить]

-rwxrwx---+ 1 BUILTIN\administrators users 9176 янв 12 17:56 xsessionВопрос:
Почему владельцем файла является не user из под которого монтировалась шара, а BUILTIN\administrators?
И как это исправить?

[Skull]

Потому что PAM работает под UID 0. Используйте autofs.

[zhukovia]

Потому что PAM работает под UID 0. Используйте autofs.

Крайне странно что так. У меня сейчас работает система на базе Debian 11 с настроеным pam_mount и Samba 4.7.12 и все прекрасно работает (владелец и группа задаются коректно). Правда у меня авторизация Debian не на Samba, а на FreeIPA. Вот я и подумал, что где то недопонял чего. Почему у Debian может работать? У них другой pam_mount?

Используйте autofs

По поводу этого, как я понял исходя из этой информации нельзя настроить autofs для каждого пользователя отдельно. Т.е. чтобы каждый пользователь монтировал свои папки в свой домашний коталог. Точнее можно, но тогда придется прописывать все каталоги для всех новых пользователей вручную, вместо задания общих правил, что мягко говоря такое себе решение.
Может есть какой нибудь способ поменять поведение pam_mount? Ну или другую похожую утилиту..

[kessys]

Крайне странно что так. У меня сейчас работает система на базе Debian 11 с настроеным pam_mount и Samba 4.7.12 и все прекрасно работает (владелец и группа задаются коректно). Правда у меня авторизация Debian не на Samba, а на FreeIPA. Вот я и подумал, что где то недопонял чего. Почему у Debian может работать? У них другой pam_mount?

Попробуйте свежий Debian.
Монтирование user запретили.
Для cifs есть multiuser - ещё исследую

[zhukovia]

Попробуйте свежий Debian.
Монтирование user запретили.
Для cifs есть multiuser - ещё исследую

А этот "запрет" можно как то обойти?

[kessys]

Попробуйте свежий Debian.
Монтирование user запретили.
Для cifs есть multiuser - ещё исследую

А этот "запрет" можно как то обойти?

Для cifs есть multiuser
Более иначе обходить думаю небезопасно

[zhukovia]

Для cifs есть multiuser

Пока так и не понял как оно работает и что меняется. Владелец файла на сервере так и остался BUILTIN\administrators. Видимо эта опция вообще про другое.

Подскажите, пожалуйста. Какие вообще способы лучше использовать для Автоматического подключения пользовательских каталогов?

Конфигурация примерно такая:
1. Есть несколько десятков пользователей, они в домене Samba
2. На этом же хосте SERVER SMB расположены разные общие и личные каталоги пользователей (Личная папка (у каждого), Общая "помойка", Сканы и т.п.)
3. Сами пользователи работают на другом хосте SERVER APP (который подключен к этому домену)
4. Нюанс в том, что все пользователи все работают на одном хосте SERVER APP через xrdp

Хотелось бы чтобы при логине на хосте SERVER APP у пользователя в его домашней папке подключались нужные ему share (/home/user/net/personal, /home/user/net/general, /home/user/net/scan), а при LOGOut эти шары отключались (в pam_mount почему то не отключаются, systemd-settings-enable-kill-user-processes установлен).
И совершенно не хочется прописывать у всех пользователей эти Шары руками.

[kessys]

Для cifs есть multiuser

Пока так и не понял как оно работает и что меняется. Владелец файла на сервере так и остался BUILTIN\administrators. Видимо эта опция вообще про другое.

Подскажите, пожалуйста. Какие вообще способы лучше использовать для Автоматического подключения пользовательских каталогов?

Конфигурация примерно такая:
1. Есть несколько десятков пользователей, они в домене Samba
2. На этом же хосте SERVER SMB расположены разные общие и личные каталоги пользователей (Личная папка (у каждого), Общая "помойка", Сканы и т.п.)
3. Сами пользователи работают на другом хосте SERVER APP (который подключен к этому домену)
4. Нюанс в том, что все пользователи все работают на одном хосте SERVER APP через xrdp

Хотелось бы чтобы при логине на хосте SERVER APP у пользователя в его домашней папке подключались нужные ему share (/home/user/net/personal, /home/user/net/general, /home/user/net/scan), а при LOGOut эти шары отключались (в pam_mount почему то не отключаются, systemd-settings-enable-kill-user-processes установлен).
И совершенно не хочется прописывать у всех пользователей эти Шары руками.

multiuser из моего понимания это как раз что и требуется для того чтобы диск корректно мог авторизовываться под пользователем.
По поводу папок видать упустили ~, тогда работает корректно.

[zhukovia]

По поводу папок видать упустили ~, тогда работает корректно.

Вы имеете ввиду в pam_mount.conf прописывать не полный путь, а через ~? Дак я так и делаю, здесь для "наглядности" написал так.

Код: [Выделить]

path="general" mountpoint="~/net_files/general" Все равно не отмонтируются папки.

[kessys]

По поводу папок видать упустили ~, тогда работает корректно.

Вы имеете ввиду в pam_mount.conf прописывать не полный путь, а через ~? Дак я так и делаю, здесь для "наглядности" написал так.

Код: [Выделить]

path="general" mountpoint="~/net_files/general" Все равно не отмонтируются папки.

Пример файла /etc/security/pam_mount.conf.xml:
изучайте

[zhukovia]

Пример файла /etc/security/pam_mount.conf.xml:
изучайте

Я конечно понимаю, что все достигнутое своим трудом гараздо ценнее. Но можно хотя бы "намекнуть" что искать? "Курить маны" это конечно хорошая подсказка, но неужели создается такое впечатление, что я вообще ничего не читал и не смотрел этот файл, а сразу решил написать сюда... пИчально, право слово!

[Skull]

Вы не умеете и ленитесь читать документацию.

[kessys]

Я конечно понимаю, что все достигнутое своим трудом гараздо ценнее. Но можно хотя бы "намекнуть" что искать? "Курить маны" это конечно хорошая подсказка, но неужели создается такое впечатление, что я вообще ничего не читал и не смотрел этот файл, а сразу решил написать сюда... пИчально, право слово!

Все правильно пишите. Не читали и не смотрели.

[zhukovia]

Все правильно пишите. Не читали и не смотрели.

Ну конечно же так, Вы меня "раскусили"! Мне же гораздо проще, а самое главное приятнее, соревноваться с вами здесь в словесной "эквилибристике" нежели решить проблему. Предпологать, что я уже прочитал, то что вы мне предлагаете, но видимо не смог увидеть и/или понять где я ошибся, естественно будет лишним и лучше просто повторить как мантру "в манах все есть". Это "сильно" полезнее и сэкономит кучу вашего и моего времени.
Оно в принципе понятно, что лично вы, лично мне Абсолютно ничего не должны и не обязаны все "разжевывать", денег же я не заплатил вам за это. Но становится немного обидно от того что вместо того чтобы подсказать и помочь решить проблему мы как "малые дети" продолжаем эту "возню". И да я знаю, что часто бывают люди которые задают вопросы на форуме совершенно не понимая даже элементарной базы и не желающие в этом разбираться, "просто сделайте все за меня". Жаль что мой вопрос со стороны так выглядит.
Просто захотел высказать, т.к. "наболело". Ну и раз у меня не получилось убедить что мой вопрос достоин чуть большего к нему внимания, буду пытаться сам "понять" ну или искать иной выход.
Спасибо за потраченое время.