Como mapear usuários de domínio para um UID / GID específico em função de seus grupos de domínio?

1

Eu tenho um servidor de arquivos samba 4.4.3 configurado como membro do domínio do AD.

Meu arquivo smb.conf atual é:

[global]
  workgroup = MYDOMAIN
  realm = MYDOMAIN.ROOT
  security = ADS 
  encrypt passwords = yes 
  idmap config *:backend =tdb
  idmap config *:range = 70001-80000
  idmap config MYDOMAIN:backend = rid 
  idmap config MYDOMAIN:range = 80000 - 1234567890123456
  winbind trusted domains only =no 
  winbind enum users = yes 
  winbind enum groups = yes 
  domain master = no
  local master = no
  map untrusted to domain = Yes 
  dedicated keytab file = /etc/krb5.keytab
  kerberos method = secrets and keytab
  winbind refresh tickets = yes 
  dns proxy = no
  log level = 10
  max log size = 1000
  syslog = 0 
  panic action = /usr/share/samba/panic-action %d
  server role = member server
  obey pam restrictions = yes 
  unix password sync = yes 
  passwd program = /usr/bin/passwd %u
  passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
  pam password change = yes 
  map to guest = bad user
  template shell = /bin/bash
  template homedir = /home/%D/%U
  client use spnego = yes 
  read only = yes 
  create mask = 0700
  directory mask = 0700
[rw]
  path = /srv/rw
  writable = yes 
  guest ok = no
  force user = share
  force group = share
  valid users=
  allow hosts =
  deny hosts =

Como você pode ver, usei as opções "forçar usuário" e "forçar grupo" para que todos os usuários no domínio sejam mapeados para compartilhar: compartilhar.

Agora o modelo de segurança mudou, gostaria de mapear um usuário de domínio para compartilhar: compartilhar somente se o usuário do domínio estiver no grupo "shareWriteAccess" (domínio) e para ro: ro se não . Isso é possível?

O objetivo é permitir que alguns usuários de domínio tenham acesso de gravação no compartilhamento, enquanto outros terão acesso de leitura. Eu estava mais confiante em usar as permissões de arquivos do Linux para verificar isso, então pensei em mapear para 2 usuários diferentes do Linux. / srv / rw tem permissões 755 share: share, então os usuários de domínio mapeados como ro: ro são efetivamente "somente leitura". Estou aberto a outra solução embora

    
por user368507 02.06.2016 / 12:33

0 respostas

Tags