Настройка SAMBA с МРД

Rayman

New member
Сообщения
99
#21
Это странно. В моем случае под 1.6SE все заработало. Попробуйте поменять права папки share на 0775 и в файле smb.conf параметры create mask и directory mask в разделе для share установить в 775 (допишите, если их нет). На каком то форуме я находил, что может некорректно монтироваться при правах 777. Ну и если не сложно, хотелось бы взглянуть на smb.conf, pam_mount.conf и вывод pdpl-file для share.
Вот:
Код:
root@srv001:~# cat /etc/samba/smb.conf
# --ALD_CONFIG_COMMENT--
# This file is generated automatically by ald(7).
# DO NOT EDIT THIS FILE, because it will be overwritten by ald(7) and
# your changes will be lost.
# Edit '/etc/ald/config-templates/smb.conf'
# and invoke the command:
#
# $ ald-client commit-config
#
# --ALD_COMMENT_END--


[global]

allow trusted domains = no
client signing = auto
server signing = mandatory
deadtime = 10
dns proxy = no
encrypt passwords = yes
host msdfs = no
security = user
log file = /var/log/samba/log.%m
log level = 0
max log size = 10000
#in kB
passdb backend = tdbsam
realm = KKN.LOCAL
server string = ALD CIFS file server
workgroup = KKN.LOCAL
unix extensions = yes
unix password sync = no
kerberos method = dedicated keytab
dedicated keytab file = /etc/krb5.keytab
client use spnego = yes
usershare path = /var/lib/samba/usershares
usershare max shares = 10
usershare prefix deny list = /etc /dev
disable netbios = yes
# display charset = UTF8

[homes]

available = yes
comment = Home directories
browseable = no
case sensitive = yes
create mask = 0750
directory mask = 0750
delete readonly = yes
ea support = yes
fstype = Samba
hide dot files = no
locking = yes
invalid users = root
valid users = %S
path = /ald_export_home/%u
writable = yes
smb encrypt = auto
wide links = yes

[share1]
available = yes
comment = For all doc's
browseable = yes
case sensitive = yes
ea support = yes
fstype = Samba
path = /share1
writable = yes
smb encrypt = auto
read only = no
disable netbios = no
guest ok = yes
map to guest = Bad User
Код:
На сервере: $ ls -l /share1

drwxrwxrwx   6 root root  4096 фев  6 17:32 share1

$ pdpl-file /share1/
Уровень_3:Низкий:Категория_1,Категория_2,0xfffffffffffffffc:ccnr!Нет:Нет
А на клиенте: 
$ pdpl-file /share1/
Уровень_0:Высокий:Нет:0х0!Нет:Нет
Проблемы здесь не может быть?
nano /etc/security/pam_mount.conf.xml #На сервере и клиенте идентичные конфиги.
Код:
<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<!--
        See pam_mount.conf(5) for a description.
-->

<pam_mount>

                <!-- debug should come before everything else,
                since this file is still processed in a single pass
                from top-to-bottom -->

<debug enable="0" />

                <!-- Volume definitions -->
<logout wait="500000" hup="1" term="1" kill="1" />
<mkmountpoint enable="1" remove="true" />
<cifsmount>mount.cifs //%(SERVER)/%(VOLUME) %(MNTPT) -o %(OPTIONS)</cifsmount>
<volume fstype="cifs" server="srv001.kkn.local"
path="share1" mountpoint="share1"
options="user=%(USER),rw,setuids,perm,soft,iocharset=utf8,sec=krb5i,cruid=%(USERUID)" />


                <!-- pam_mount parameters: General tunables -->

<!--
<luserconf name=".pam_mount.conf.xml" />
-->

<!-- Note that commenting out mntoptions will give you the defaults.
     You will need to explicitly initialize it with the empty string
     to reset the defaults to nothing. -->
<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other" />
<!--
<mntoptions deny="suid,dev" />
<mntoptions allow="*" />
<mntoptions deny="*" />
-->
<mntoptions require="nosuid,nodev" />

<logout wait="0" hup="no" term="no" kill="no" />


                <!-- pam_mount parameters: Volume-related -->

<mkmountpoint enable="1" remove="true" />


</pam_mount>
Если в строку опции добавить options="user=%(USER),rw,setuids,perm,soft,iocharset=utf8,nosharesock,vers=1.0,sec=krb5i,cruid=%(USERUID)" />, то на клиенте в точке монтирования перестает отображаться даже каталог /zero
 

A.Kinski

New member
Сообщения
29
#22
Вот:
Код:
root@srv001:~# cat /etc/samba/smb.conf
# --ALD_CONFIG_COMMENT--
# This file is generated automatically by ald(7).
# DO NOT EDIT THIS FILE, because it will be overwritten by ald(7) and
# your changes will be lost.
# Edit '/etc/ald/config-templates/smb.conf'
# and invoke the command:
#
# $ ald-client commit-config
#
# --ALD_COMMENT_END--


[global]

allow trusted domains = no
client signing = auto
server signing = mandatory
deadtime = 10
dns proxy = no
encrypt passwords = yes
host msdfs = no
security = user
log file = /var/log/samba/log.%m
log level = 0
max log size = 10000
#in kB
passdb backend = tdbsam
realm = KKN.LOCAL
server string = ALD CIFS file server
workgroup = KKN.LOCAL
unix extensions = yes
unix password sync = no
kerberos method = dedicated keytab
dedicated keytab file = /etc/krb5.keytab
client use spnego = yes
usershare path = /var/lib/samba/usershares
usershare max shares = 10
usershare prefix deny list = /etc /dev
disable netbios = yes
# display charset = UTF8

[homes]

available = yes
comment = Home directories
browseable = no
case sensitive = yes
create mask = 0750
directory mask = 0750
delete readonly = yes
ea support = yes
fstype = Samba
hide dot files = no
locking = yes
invalid users = root
valid users = %S
path = /ald_export_home/%u
writable = yes
smb encrypt = auto
wide links = yes

[share1]
available = yes
comment = For all doc's
browseable = yes
case sensitive = yes
ea support = yes
fstype = Samba
path = /share1
writable = yes
smb encrypt = auto
read only = no
disable netbios = no
guest ok = yes
map to guest = Bad User
Код:
На сервере: $ ls -l /share1

drwxrwxrwx   6 root root  4096 фев  6 17:32 share1

$ pdpl-file /share1/
Уровень_3:Низкий:Категория_1,Категория_2,0xfffffffffffffffc:ccnr!Нет:Нет
А на клиенте:
$ pdpl-file /share1/
Уровень_0:Высокий:Нет:0х0!Нет:Нет
Проблемы здесь не может быть?
nano /etc/security/pam_mount.conf.xml #На сервере и клиенте идентичные конфиги.
Код:
<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<!--
        See pam_mount.conf(5) for a description.
-->

<pam_mount>

                <!-- debug should come before everything else,
                since this file is still processed in a single pass
                from top-to-bottom -->

<debug enable="0" />

                <!-- Volume definitions -->
<logout wait="500000" hup="1" term="1" kill="1" />
<mkmountpoint enable="1" remove="true" />
<cifsmount>mount.cifs //%(SERVER)/%(VOLUME) %(MNTPT) -o %(OPTIONS)</cifsmount>
<volume fstype="cifs" server="srv001.kkn.local"
path="share1" mountpoint="share1"
options="user=%(USER),rw,setuids,perm,soft,iocharset=utf8,sec=krb5i,cruid=%(USERUID)" />


                <!-- pam_mount parameters: General tunables -->

<!--
<luserconf name=".pam_mount.conf.xml" />
-->

<!-- Note that commenting out mntoptions will give you the defaults.
     You will need to explicitly initialize it with the empty string
     to reset the defaults to nothing. -->
<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other" />
<!--
<mntoptions deny="suid,dev" />
<mntoptions allow="*" />
<mntoptions deny="*" />
-->
<mntoptions require="nosuid,nodev" />

<logout wait="0" hup="no" term="no" kill="no" />


                <!-- pam_mount parameters: Volume-related -->

<mkmountpoint enable="1" remove="true" />


</pam_mount>
Если в строку опции добавить options="user=%(USER),rw,setuids,perm,soft,iocharset=utf8,nosharesock,vers=1.0,sec=krb5i,cruid=%(USERUID)" />, то на клиенте в точке монтирования перестает отображаться даже каталог /zero
Еще параметр perm нужно заменить на noperm
 

A.Kinski

New member
Сообщения
29
#24
Не, безрезультатно. С параметрами noperm, nosharesock, vers=1.0 я даже каталога /zero не вижу. Тут же их убираю и вижу хотя бы /zero, под всеми уровнями
На клиенте папка share1, попробуйте ей поставить уровень3 целостность 0 и флаг ccnr, категории в -1
 

Rayman

New member
Сообщения
99
#25
На клиенте папка share1, попробуйте ей поставить уровень3 целостность 0 и флаг ccnr, категории в -1
pdpl-file /share1/
Уровень_3:Низкий:Категория_1,Категория_2,0xfffffffffffffffc:ccnr!Нет:Нет
Проблема осталась. Уже не понимаю куда копать
 

eea

New member
Сообщения
4
#29
Да, постараюсь завтра не забыть.
Доброго дня!
Столкнулся с той же проблемой.... судя потому что ветка затихла, могу предположить, что Ваш конфиг помог товарищу Rayman, не могли бы Вы переслать пример Вашей рабочей конфигурации и мне?
 

A.Kinski

New member
Сообщения
29
#30
Доброго дня!
Столкнулся с той же проблемой.... судя потому что ветка затихла, могу предположить, что Ваш конфиг помог товарищу Rayman, не могли бы Вы переслать пример Вашей рабочей конфигурации и мне?
А давайте спросим у него, помогла или нет)
 

A.Kinski

New member
Сообщения
29
#32
Доброго дня!
Столкнулся с той же проблемой.... судя потому что ветка затихла, могу предположить, что Ваш конфиг помог товарищу Rayman, не могли бы Вы переслать пример Вашей рабочей конфигурации и мне?
В любом случае вечером скину Вам конфиг
 

eea

New member
Сообщения
4
#36
Спасибо за помощь, к сожалению никак не выходит определить проблему...что по статье из вики, что Вашим способом - ресурсы не монтируются. Вдобавок, после перезагрузки, папка указанная в pam_mount в качестве точки монтирования ресурса удаляется из системы(
 

kostia

New member
Сообщения
186
#37
Там внутри папки на целевой системе нужно создать файлик, типа .placeholder в deb пакетах. Тогда папка не будет удаляться.
 

Rayman

New member
Сообщения
99
#38
Как правильно указать метки для каталогов на сервере? /share1 и /share1/zero,dsp,secretno. Так же на клиенте на точке монтирования? /share. И какие права должны быть выставлены им?
 

A.Kinski

New member
Сообщения
29
#39
Для share1 на сервере:
Pdpl-file 2:0:-1:ccnr /share - то есть максимальная метка, которую планируете использовать, 0 целостность, все категории, флаг разрешения других меток в папке.
Для подпапок /share аналогично, за исключением первого параметра:
Pdpl-file 0:0:-1:ccnr /share/zero
Pdpl-file 1:0:-1:ccnr /share/dsp

На клиенте:
Pdpl-file 2:0:-1:ccnr /share
Как правильно указать метки для каталогов на сервере? /share1 и /share1/zero,dsp,secretno. Так же на клиенте на точке монтирования? /share. И какие права должны быть выставлены им?
 

Rayman

New member
Сообщения
99
#40
Для share1 на сервере:
Pdpl-file 2:0:-1:ccnr /share - то есть максимальная метка, которую планируете использовать, 0 целостность, все категории, флаг разрешения других меток в папке.
Для подпапок /share аналогично, за исключением первого параметра:
Pdpl-file 0:0:-1:ccnr /share/zero
Pdpl-file 1:0:-1:ccnr /share/dsp

На клиенте:
Pdpl-file 2:0:-1:ccnr /share
А права какие должны быть? на сервере 755 или 777? На клиенте?