"Правильный" smb.conf для Ubuntu Server 16.04 (server role = AD DC) с [homes]

[Vllad.]

Здравствуйте, уважаемое сообщество!

Поиском по сайту просмотрел темы настройки файла конфигурации SAMBA4 для роли PDC - ответов на свои вопросы не нашел. Поэтому решился создать новую тему.
Просьба не сильно ругать, если для Вас мои вопросы покажутся банальными.
Мой опыт общения с Linux-ами до текущего момента ограничивался "коробочным" zentyal-ом, который жил своей жизнью и так же (год назад) перестал жить, после очередного обновления.

В этот раз решил делать все осознано, то есть через "терминал"...

По мануалам из сети, в первую очередь по [HOWTO] с данного сайта (очень полезные инструкции - отдельная Благодарность!) настроил контроллер домена на Ubuntu Server 16.04. На этой же "железке" установил веб-сервер (LAMP) и открыл доступ к папке с сайтами. Для полного "счастья" добавил в smb.conf секцию [homes], для личных папок пользователей домена.

Видимо, где-то напутал с последовательностью действий (или что-то не выполнил при настройке сервера), но при входе в личную папку пользователя (в win7, в сетевом окружении есть сервер DC1 и на этом сервере появляется сетевая папка пользователя) зайти не могу. Пишет "не найден сетевой путь". Почему-то эта папка видна и из под локального пользователя win7, хотя по smb.conf, вроде не должна отображаться под "чужим" профилем - только под авторизованным доменным пользователем (на то она и "Личная папка").
Общая папка с сайтами (как и указано в smb.conf) не отображается, но... Опять же, из под локального пользователя, я могу просматривать её содержимое (через указание полного пути к папке в "выполнить"), хотя доступ должен быть только у одного доменного admin-а.

Еще момент: после заведения пользователей в домен (2 шт.) установил libnss-winbind и... После перезагрузки сервера эти пользователи пропали.
Заново создал этих пользователей через RSAT W7. Заново создал профили на win7, но... Теперь вместо ФИО в меню ПУСК (открытие персональной папки) красуются "иероглифы".
Каюсь! По своей самонадеянности решил отступить от инструкций и "усложнить" свой smb.conf...
Видимо, что-то добавил не то, или не туда...

Пытался разобраться самостоятельно в течении трех дней, но полноценного мануала со всеми параметрами, для smb.conf на русском языке обнаружить не удалось. Зато, как раз инструкция с описаниями параметров "кодировок" помогла (на сколько я понял) наоборот испортить то, что до моего вмешательства работало... 

Вынужден обращаться за помощью к сообществу, для приведения в порядок мыслей и конфигураций...

Текущий smb.conf прилагаю:

(Нажмите, чтобы показать/скрыть)

Global parameters
[global]
        workgroup = HOME
        realm = HOME.LAN
        netbios name = DC1
        server role = active directory domain controller
        dns forwarder = 8.8.8.8
        idmap_ldb:use rfc2307 = yes
        passdb backend = smbpasswd
#       Корректное отображение русских имен файлов Windows
#       unix charset = koi8-r


[netlogon]
        path = /var/lib/samba/sysvol/home.lan/scripts
        read only = No
        browseable = no
        writable = no
        public = no
        invalid users = nobody


[sysvol]
        comment = Системная папка
        path = /var/lib/samba/sysvol
        read only = No

[HOMES]
        comment = Домашняя папка
        valid users = %U
        writable = yes
        create mask = 0600
        directory mask = 0700
        browseable = no


[www]
        comment = САЙТЫ
        path = /var/www
        browseable = no
        valid users = Admin
        writable = yes
        public = no
        invalid users = nobody
        guest ok = no

 

P.S.: Дополнительно, настроил второй сервер, так же на Ubuntu Server 16.04 в роли файлового сервера, ну и transmission там же работать будет. Добавил этот ServerOk в домен, но пока не открывал общий доступ. Вот такая начальная конфигурация домашней локальной сети...

[AnrDaemon]

Я для себя такое сделал.
https://github.com/AnrDaemon/samba4-ads/tree/master/root/samba-ads

Уверены, что домен правильно поднялся? Ошибок не было?
Показывайте вывод

Код: [Выделить]

dpkg -l samba-dsdb-modules; samba-tool testparm --skip-prompt

[Vllad.]

dpkg -l samba-dsdb-modules     выдает такой результат (для того, чтобы не было курсива и подчеркивания пришлось после i и u, в тексте вывода команды, поставить пробел):

(Нажмите, чтобы показать/скрыть)

root@DC1:~# dpkg -l samba-dsdb-modules
Желаемый=неизвестно[u ]/установить[i ]/удалить[r]/вычистить[p]/зафиксировать[h]
| Состояние=не[n]/установлен[i ]/настроен[c]/распакован[U ]/частично настроен[F]/
            частично установлен[H]/trig-aWait/Trig-pend
|/ Ошибка?=(нет)/требуется переустановка[R] (верхний регистр
в полях состояния и ошибки указывает на ненормальную ситуацию)
||/ Имя                   Версия          Архитектура     Описание
+++-=====================-===============-===============-================================================
ii  samba-dsdb-modules    2:4.3.11+dfsg-0 amd64           Samba Directory Services Database

testparm --skip-prompt       сообщает следующее:

(Нажмите, чтобы показать/скрыть)

root@DC1:~# testparm --skip-prompt                                                                             
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[netlogon]"
Processing section "[sysvol]"
Processing section "[HOMES]"
Processing section "[www]"
Loaded services file OK.
Server role: ROLE_ACTIVE_DIRECTORY_DC

Press enter to see a dump of your service definitions

# Global parameters
[global]
        workgroup = HOME
        realm = HOME.LAN
        server role = active directory domain controller
        passdb backend = samba_dsdb
        dns forwarder = 8.8.8.8
        rpc_server:tcpip = no
        rpc_daemon:spoolssd = embedded
        rpc_server:spoolss = embedded
        rpc_server:winreg = embedded
        rpc_server:ntsvcs = embedded
        rpc_server:eventlog = embedded
        rpc_server:srvsvc = embedded
        rpc_server:svcctl = embedded
        rpc_server:default = external
        winbindd:use external pipes = true
        idmap_ldb:use rfc2307 = yes
        idmap config * : backend = tdb
        map archive = No
        map readonly = no
        store dos attributes = Yes
        vfs objects = dfs_samba4 acl_xattr


[netlogon]
        path = /var/lib/samba/sysvol/home.lan/scripts
        invalid users = nobody
        browseable = No


[sysvol]
        comment = Системная папка
        path = /var/lib/samba/sysvol
        read only = No


[HOMES]
        comment = Домашняя папка
        valid users = %U
        read only = No
        create mask = 0600
        directory mask = 0700
        directory mode = 0700
        browseable = No


[www]
        comment = САЙТЫ
        path = /var/www
        invalid users = nobody
        valid users = Admin
        read only = No
        browseable = No

AnrDaemon, Благодарю за примеры конфигурационных файлов. Буду разбираться...

Вот, кстати, в Вашем smb.conf в секции [homes] указан путь (path = /home/%S). В инструкциях, где используется эта секция, почему-то путь не прописывают. Я тоже его не указал, посчитав, что в системе есть путь "по умолчанию".

Пока не понимаю смысла, стараюсь не сильно менять значения по умолчанию.
С той же кодировкой... "улучшил"... Тут же аукнулось! Там, где никак не ожидал - в отображении имени пользователя...

/etc/nsswitch.conf сначала был как в Вашем примере, но потом добавил "winbind" в строчки shadow: и hosts:

Пользователь добавил сообщение 24 Февраля 2018, 22:16:51:При авторизации в W7, попадал во временную УЗ, вместо УЗ пользователя, поэтому:
1. Удалил пользователя домена в RSAT.
2. Заново создал пользователя там же.
3. Проверил wbinfo -u  - пользователь добавлен.
4. Проверил, что профиль пользователя на РМ (W7) удален.
5. Успешно авторизовался в W7.

К чему это я... Закомментированные строки в моем smb.conf сработали. С кодировкой текста все теперь в порядке и да... Контроллер домена, получается, работает: пользователи успешно добавляются через оснастку RSAT. Профили на Рабочих Местах (РМ) создаются. Компьютер успешно добавился в домен. Вход с учетными данными, хранящимися в Samba, осуществляется успешно.

Остались проблемы с правами доступа к общим ресурсам:
1. В папку [www] доступ у Admin-а есть, но права создавать файлы и папки отсутствуют (в smb.conf нужно явно прописывать уровни доступа пользователю?).
2. Личная общая папка после авторизации пользователя создается, но войти в нее пользователь не может (ошибка "не найден сетевой путь"). А посмотреть кому и какие права на эту папку присвоены при её создании - не знаю как. Так как не могу понять, где эта папка "физически" находится... 

Это те ошибки, которые уже "вылезли", из-за некорректно (недостаточно?) сконфигурированной Samba, учитывая, какой у меня неинформативный конфигурационный файл, в сравнении с Вашим примером smb.conf.
Или подобной конфигурации достаточно для стабильной работы Samba в роли PDC и, в данном случае, осталось разобраться только с правами и общим доступом к сетевой папке (для одного пользователя) и личным папкам пользователей домена?

Насколько актуальна инструкция [HOWTO]: Samba в роли PDC/файлСервера для небольшого офиса? СтОит ли ей руководствоваться при создании общих папок уже на втором (файловом) сервере?

[AnrDaemon]

testparm --skip-prompt       сообщает следующее:

Я вообще-то другую команду просил ввести.
Пользователь добавил сообщение 25 Февраля 2018, 01:48:41:

/etc/nsswitch.conf сначала был как в Вашем примере, но потом добавил "winbind" в строчки shadow: и hosts:

Уберите. От этого могут быть проблемы. Больше того, если вы не логинитесь локально в систему с АД пользователями, nsswitch вообще можно не трогать. Тем более на ДЦ.
Пользователь добавил сообщение 25 Февраля 2018, 01:53:16:

1. В папку [www] доступ у Admin-а есть, но права создавать файлы и папки отсутствуют (в smb.conf нужно явно прописывать уровни доступа пользователю?).

Права надо задавать на файловой системе.

2. Личная общая папка после авторизации пользователя создается, но войти в нее пользователь не может (ошибка "не найден сетевой путь"). А посмотреть кому и какие права на эту папку присвоены при её создании - не знаю как. Так как не могу понять, где эта папка "физически" находится... 

Так для этого как раз и задаётся путь к каталогу…

Насколько актуальна инструкция

Вот тут не помогу, нет времени читать и вникать. Мой шаблон вылизан под мои конкретные нужды - уклон именно в *NIX и (насколько возможно) прозрачное взаимодействие обоих систем.

[Vllad.]

Я вообще-то другую команду просил ввести.

samba-tool testparm --skip-prompt  завершается ошибкой:

(Нажмите, чтобы показать/скрыть)

Usage: samba-tool testparm [options]

samba-tool testparm --skip-prompt: error: no such option: --skip-prompt

samba-tool testparm -h

(Нажмите, чтобы показать/скрыть)

Options:
  -h, --help            show this help message and exit
  --section-name=SECTION_NAME
                        Limit testparm to a named section
  --parameter-name=PARAMETER_NAME
                        Limit testparm to a named parameter
  --client-name=CLIENT_NAME
                        Client DNS name for 'hosts allow' checking (should
                        match reverse lookup)
  --client-ip=CLIENT_IP
                        Client IP address for 'hosts allow' checking
  --suppress-prompt     Suppress prompt for enter
  -v, --verbose         Show default options too
  --server=SERVER       Set %L macro to servername
  --show-all-parameters
                        Show the parameters, type, possible values

  Samba Common Options:
    -s FILE, --configfile=FILE
                        Configuration file
    -d DEBUGLEVEL, --debuglevel=DEBUGLEVEL
                        debug level
    --option=OPTION     set smb.conf option from command line
    --realm=REALM       set the realm name

  Version Options:
    -V, --version       Display version number

Или я что-то не то делаю?

По /etc/nsswitch.conf - Благодарю за разъяснение. Исправлю...

1. по [www] - То есть, не прописывать в конфигурационных файлах, а указывать через команды, например, chmod?

2. Все верно, путь должен указываться, но тот smb.conf, который у меня в первом посте, составлялся из примеров.
И в этих примерах путь явно не указывался (причем, подобная конфигурация встречается довольно часто в статьях по Samba).
В RSAT путь к личной папке пользователя определяется как c:\home\HOME\Admin
Вот, только данной папки физически не существует.
Получается, автоматически личные папки новых пользователей создаваться не будут, если дополнительно не писать скрипт?
Почему-то, в тех же примерах, про написание скрипта ни слова не упоминалось...

Или я опять что-то неправильно понял?

В Вашем файле закомментированы строки с указанием #DC и #MS.
Для чего эти метки?

[AnrDaemon]

А, да, --suppress-prompt
По памяти писал.

chmod

Забудьте про chmod, если хотите жить с Самбой долго и счастливо. Есть getfacl/setfacl, а ещё лучше icacls с винды. Но для этого надо 1. получить к шаре доступ и 2. правильно настроить мапинг юзеров.

2. Все верно, путь должен указываться, но тот smb.conf, который у меня в первом посте, составлялся из примеров.И в этих примерах путь явно не указывался (причем, подобная конфигурация встречается довольно часто в статьях по Samba).

Во-первых, секция должна называться [homes] а не [HOMES].
Во-вторых, см. выше - для того, чтобы путь работал автоматически, должен быть правильно настроен мапинг пользователей. (По умолчанию подставляется $HOME пользователя.)

автоматически личные папки новых пользователей создаваться не будут, если дополнительно не писать скрипт?

pam_mkhomedir есть. Вот только я не помню, правильно ли он работает с Самбой…

В Вашем файле закомментированы строки с указанием #DC и #MS.Не совсем понимаю, для чего эти метки?

Затем, что это шаблон. Инструкцию надо читать…

Код: [Выделить]

./samba-prep.sh -H

[Vllad.]

samba-tool testparm --suppress-prompt

(Нажмите, чтобы показать/скрыть)

# Global parameters
[global]
        workgroup = HOME
        realm = HOME.LAN
        netbios name = DC1
        server role = active directory domain controller
        passdb backend = smbpasswd
        dns forwarder = 8.8.8.8
        idmap_ldb:use rfc2307 = yes

[netlogon]
        path = /var/lib/samba/sysvol/home.lan/scripts
        invalid users = nobody
        browseable = No

[sysvol]
        comment = Системная папка
        path = /var/lib/samba/sysvol
        read only = No

[HOMES]
        comment = Домашняя папка
        valid users = %U
        read only = No
        create mask = 0600
        directory mask = 0700
        directory mode = 0700
        browseable = No

[www]
        comment = САЙТЫ
        path = /var/www
        invalid users = nobody
        valid users = Admin
        read only = No
        browseable = No

БлагоДарю за ответы.
все Ваши замечания учту.

Буду изучать все те параметры, про которые Вы упоминали...

Затем, что это шаблон. Инструкцию надо читать…

Код: [Выделить]

./samba-prep.sh -H

Предложение вЕрное...
Осталось английский выучить на таком уровне, чтобы при беглом просмотре текста понимать суть написанного...
Так как нахождение инструкций в файле скрипта (samba-prep.sh) для меня не совсем очевидно, а к скриптам я пока что  боюсь "прикасаться" - поэтому и пропустил пояснение (хотя открывал и просматривал этот файл, сохранив текст локально)...

[Vllad.]

Проблемы постепенно решаются, smb.conf доводится "до ума".

Уже настроил samba на DC и добавил общий ресурс:
1. При авторизации пользователя создается личная папка: БлагоДарю AnrDaemon за подсказку с "pam_mkhomedir".
2. Настроил LAMP (пока еще только настроил и запустил).
3. Настроил CUPS.
4. Настроил NTP.

На FS: подключил сервер к домену, создал общие папки с разными уровнями доступа (гостевая, фото-видео с правами гостя "только чтение", доменный обмен с доменной авторизацией), включил корзину и аудит для гостевой папки, настроил список veto-расширений, подключил transmission.

Вот только ради чего все это делалось, как раз и не заработало...

Есть сетевой медиаплеер IconBit xds1003d. Он-то и был главным виновником всей затеи с серверками (ну, кроме самого изучения ubuntu, конечно же)...

В прошлый раз, Zentyal (на Ubuntu 12.04) сходу справился с задачей подключения данного плеера к своей "медиатеке".
В этот раз, при подключении плеера к общему ресурсу, на экране ТВ появляется запрос "Логин/Пароль" и ни один пароль не подходит (ни доменный, ни локальный). В логах же Samba, на сервере, появляется следующая запись:

Код: [Выделить]

smbd[12632]: [2018/03/06 20:32:11.329623,  0] ../source3/smbd/negprot.c:686(reply_negprot)
smbd[12632]:   No protocol supported !

На форуме 4pda, на странице обсуждения данной модели плеера, мне посоветовали не мучаться (ибо бесполезно) и запустить NFS на сервере.

Именно так и пришлось поступить. Доступ без пароля с медиапроигрывателя появился.
Но я точно помню, что к Zentyal-у плеер подключался не по NFS (раздел NFS, ip-адрес сервера), а по Samba (через раздел сеть, по имени сервера). Получается, каким-то образом "предыдущая Samba" нашла общий "язык" (протокол) с плеером?

Сейчас использую NFS только для плеера, прописав конкретный ip-адрес IconBit-а, чтобы не нарушать права доступа по Samba.
Кстати, как я понимаю, права из smb.conf для "общего ресурса", серверу NFS "не закон", но учитывает ли NFS права на файлы и папки выставленные непосредственно через setfacl или chmod?

Конечно, хотелось бы убрать этот протокол "в резерв" и настроить корректно Samba, но как победить несовместимость протоколов - не смог разобраться.

Может кто сталкивался с подобным? Есть какие предложения, что можно попробовать сделать?

[AnrDaemon]

Скорее всего, в плеере надо принудительно настраивать версию SMB протокола.

[Vllad.]

Скорее всего, в плеере надо принудительно настраивать версию SMB протокола.

Наверное, правильнее будет по этому вопросу создать отдельную тему?
___________________________________________________________________________
По текущему вопросу, по smb.conf, вопросов, вроде, не остается.
Еще раз все перепроверю и, наверное, можно ставить в данной теме "решено".