Могут ли группы OpenLdap домена включать др. группы наряду с пользователями?

[parser82]

Могут ли группы OpenLdap домена включать др. группы наряду с пользователями (как в WinServer 2003)?
Может ли пользователь OpenLdap домена входить в несколько групп OpenLdap домена?
Для тех, кто способен меня вытерпеть, еще вопрос:
Аналогична ли система задания прав  OpenLdap домена обычной системе задания прав в Linux (chown, chmod)?

[berkut_174]

Могут ли группы OpenLdap домена включать др. группы наряду с пользователями (как в WinServer 2003)?

Не понял, то есть группа в группе что ли ? Тогда, вроде бы, нет. Не знаю, что там в WinServer 2003...

Может ли пользователь OpenLdap домена входить в несколько групп OpenLdap домена?

Обязательно.

Аналогична ли система задания прав  OpenLdap домена обычной системе задания прав в Linux (chown, chmod)?

Непонятно как-то...

[parser82]

1. По поводу групп в группах
Однажды продумывал схему обеспечения безопасности на уровне разграничения прав доступа в одном учебном заведении (стоял домен Active Directory под Windows Server 2003).
В текущий момент, к примеру, первой попалась под руку такая ссылка http://geekbrain.ru/tipy-grupp-v-active-directory/

...глобальная группа может включать пользователей, компьютеры и другие глобальные группы из того же домена...

2. По поводу пользователя в нескольких группах: спасибо.
3. По поводу прав доступа пользователя домена к сетевой папке: пусть через Samba каждому пользователю расшаривается сетевой ресурс. Понятно, что на уровне конфига Samba указываются права доступа пользователя к этому ресурсу (папке) + эта папка должна существовать. Но на уровне файловой системы надо ли для этого же пользователя командами {chown, chmod} указывать соответствующие права доступа для расшариваемой через Samba папки. Или файловая система ничего не знает о пользователях OpenLdap?

[ruslandh]

Файловая система не работает с пользователями, она работает с uid и gid, при регистрации пользователя (механизм регистрации роли не играет), он получает текущий uid и gid, с которыми и работает.
При входе по самбе используется "перетрансляция" пользователя самбы в локального пользователя (может и самого в себя), задаваемого конфигом самбы, вот с правами этого локального пользователя и обращается пользователь к файловой системе.

[parser82]

Цитата с http://www.k-max.name/linux/domen-nt4-na-samba/

Для каждого пользователя домена, необходимо создать его учетную запись в UNIX и SAMBA с ОДИНАКОВЫМИ ПАРОЛЯМИ И ИМЕНАМИ! А так же, пользователей необходимо добавить в соответствующие группы...

Тут понятно: т.к. OpenLdap в домене увязан с Samba, то, получается, автоматически в Samba создается такой же пользователь, как и в OpenLdap. С другой стороны, т.к. (в соответствии с цитатой) под Samba и файловой системой Linux должны существовать одинаковые пользователи, то на Linux - сервере должен существовать локальный пользователь Linux, аналогичный пользователю Samba.
В итоге, делаем вывод: при созданиии пользователя домена OpenLdap из графического интерфейса (веб морды) на школьном Linux Server-e создается и соответствующий локальный пользователь с соответствующим именем и паролем.
Я правильно понял  :'( ??!!
Т.е. для локального пользователя - аналога пользователя OpenLdap (см. только что сделанный вывод) - для нормального подсоединения пользователя OpenLdap к шаре (расшариваемой по сети папке), расположенной на сервере Linux (чтобы OpenLdap-пользователь с включенного в домен компьютера мог подключить эту шару), необходимо командами chown, chmod дать на сервере соответствующие права доступа к этой шаре?
Я правильно понял  :'( ??!!

[ruslandh]

Если делать "общую шару", то именно для этой папки надо или каким-то образом использовать общего локального пользователя (типа nobody) (не силён в самбе, можно-ли так сделать), то-ли менять права на файловую систему.

PS Не злоупотребляйте красным цветом - раздражает.

[parser82]

Речь не про общую, а про шару конкретного пользователя и конкретной группы...
Еще мнения?....

[ruslandh]

Шара конкретного пользователя, обычно это его домашний каталог, или подкаталог в нём  на сервере, который ему обычно и принадлежит.
Шара для группы, скорей всего потребует изминения файловых прав на этот каталог. Вот насчёт групп - не в курсе, транслируются-ли они в локальные группы пользователей.

[berkut_174]

Конкретно в p7, а именно с появлением samba4, есть проблемы с группами.
А вообще группы (которые ldap-ные) на клиенте воспринимаются нормально и если пользователь состоит в той ли иной группе, то он либо получает доступ к файлам/папкам в шаре, либо нет. Это имелось ввиду ?

PS. Примечание. Ещё имеет место быть проблема локальных групп (uucp, camera, scanner, etc) у доменных пользователей. На клиенте и на сервере возможны разные GID, из-за этого пользователь на клиенте может попасть в другую группу и получить доступ куда не следует. Пока тоже эта проблема не решена. Как вариант, можно на сервере и на всех клиентах использовать одинаковые GID для локальных групп (/etc/group), что само по себе достаточно проблематично провернуть...

В ближайшее время сам хочу проверить работу групп в p7 с samba4, может что изменилось, хотя не уверен.

[ApB]

То с чем столкнулся сам подняв samba-сервант к alt-linux домену ...
При линковании группы ldap на группу самба, визуально получаем вроде как по

Код: [Выделить]

net groupmap list вроде прикованные группы, однако samba в текущем варианте P7 обеспечивает доступ к серверу, позволяет наделять отдельных пользователей правами в пределах встроенных групповых политик samba 3.6, Но, права на директории, при использовании иных способов доступа (NFS, ssh) ограничений samba не имеют.
При создании файла из-под windows-клиента в домене samba и при последующем просмотре прав на файл в пределах хост-системы, получается, что  владелец файла - пользователь его создавший и группа = имени пользователя.
Т.е. Пользователь 'name' в samba-группе sambagroup - при просмотре созданного им файла в шаре - можно добавить прав для группы, если смотреть из клиентской Windows-системы, но при просмотре прав на созданные файлы - файлы будут иметь владельец:группа = name:name. При этом, если задать права на файл из linux-системы, то в samba в правах на файл будет и та группа, которая была задана из-под linux =)

[parser82]

Шара конкретного пользователя, обычно это его домашний каталог, или подкаталог в нём  на сервере, который ему обычно и принадлежит.

Извините, сначала скинул текст не в ту тему: я пытаюсь создать шару для OpenLdap-пользователя на отдельном компьютере (NAS под управлением Debian, поддерживающий OpenLdap).
Поэтому встают такие вопросы

[parser82]

Как тогда быть с моей мечтой настройки 2-х пар наборов шар:
1 набор: {сетевая папка пользователя (ну пусть не на отдельном сетевом хранилище NAS); общая папка обмена; папка заданий с правами readonly}
- доступ только для учителя/учителей
2 набор : {сетевая папка пользователя (ну пусть не на отдельном сетевом хранилище NAS); общая папка обмена; папка документов с правами readonly}
- доступ только ученика/учеников
 :'( Неужели придется создавать/поднимать два отдельных сервака??!!
Т.е. задача по созданию шары для группы пользователей (но не для всех пользователей) на Samba-сервере ШКОЛЬНОГО ЛИНУКС СЕРВЕРА в рамках OpenLdap-домена невозможна?   :'(

[ApB]

Почему невозможна?
Включаем в smb.conf раздел для шары

Код: [Выделить]

#указание наименования шары
[share]
#комментарий к шаре отбражаемый на win-системе пользователя
comment = Бланки организации
#путь к шаре в файловой системе
path = /files/blanks
#отображать её в сетевом окружении или нет
browseable = yes
#укажем каким группам и пользователям можно иметь доступ к шаре
valid users = @2101 @2102 user
#указываем пользователей и группы, которые имеют право на внесение изменений
admin users = @2100 @admins teacher1 teacher2
Для всяких разных homedir

Код: [Выделить]

[homes]
comment = Home Directory for '%u'
browseable = no
writable = yes
Или я вопрос неправильно понял?

[parser82]

А пользователи и группы, указанные в примере, - это OpenLdap-пользователи?

[ApB]

Если openldap интерпретировать как altlinux-domain, то:
Группы LDAP и группы samba связываются в альтераторе:
Пользователи>Группы внутри выбираем группу и выходим на вкладку "Привязка групп"
там ставим галку напротив "Привязка к группе Samba" и вписываем наименование samba-группы.
Далее можно лезть в консоль и просматривать через "net rpc..." состояние и перечень групп, а в параметрах доступа к шаре указывать именно samba-группу. Чтобы снизить потенциальное количество косяков - сделать их (имена групп samba и ldap) идентичными, т.е. была у меня ldap-группа 2104 и в samba она у меня как 2104.