Так что делать с разрешениями? Хочется ведь рулить ими так, чтобы было удобно, а не в консоли »
Не совсем понял, ты хочешь расставлять разрешения никсовым шарам из винды через вкладку безопасность?
Если да, то я уже давал ссылку: http://www.lissyara.su/?id=1460

По ней и делал. Всё сделал, а не даёт разрешения ставить. Пишет, что не удалось сохранить изменения разрешений, отказано в доступе.

DJ Mogarych, а с юзерами разобрались? Настройкой шары может заниматься юзер с админскими правами (т.е. надо шару на БСД присвоить юзеру из АД, администратору или администраторам). Сегодня-завтра попробую проверить, отпишусь

Да, вспомнил, там был нюанс с которым я долго ковырялся: нужно на фряхе хозяином шары сделать админа из АД, тогда и доступ будет, но менять эти права может только этот админ.

А можно ли заходить локально на файл-сервер под доменным админом, дав ему права рута? То есть, заменить рута доменным админом, и, соответственно, все действия делать от его имени, чтобы не париться с правами?

Чтобы из винды выставлять разрешения (ака "ACL" - access control lists) на *nix-сервере в файловой системе *nix-сервера должна быть включена поддержка ACL - man tune2fs.

Вернее, для freebsd - tunefs

должна быть включена поддержка ACL »
... и при сборке самбы её тоже надо включить

dmitryst,

Верно, но, если моя память мне ни с кем не изменяет, оно по дефолту включено. Равно как и параметр "nt acl support" в конфиге. Но для надежности лучше указать ручками. :)

Dimon, да, при сбоке пакета достаточно один раз указать, и всё. Меня сейчас больше волнует "... time skew is too great.." . Пока застрял на поднятии time-сервиса или на win или BSD, и их синхронизации

dmitryst,

У меня такое было по следующим причинам:

Clock skew too great

Если такое возникло то прежде всего необходимо проверить время на локальной машине и на контроллере домена, скорее всего существует разница во времени более 5 минут (по умолчанию для Kerberos) или же, при одинаковом времени на сервере и контроллере, установлены разные часовые пояса. В общем, время на сервере нужно синхронизировать с временем на PDC. Есть еще один вариант, очень неочевидный: выше мы упоминали про то, что если в /etc/hosts прописывается соответствие IP-адресов именам машин, то в конце последней строки обязательно должен быть пробел. Так вот если последней записью идет имя сервера или имя контроллера домена и в конце нет Enter'a, то будет появляться данная ошибка. При возникновении других ошибок внимательно пересмотрите /etc/krb5.conf - скорее всего где-то ошибка в регистре символов переменных.

А синхронизить время можно с помощью той же самбы: net time set ... - чтобы NTP не поднимать.

А синхронизить время можно с помощью той же самбы: net time set »
не, лучше наоборот, чтобы эталонное время было на контроллере домена, а клиенты пусть синхронизируются с ним

Создайте (если не существует) файл /etc/ntp.conf Включите в него следующую строку
server сервер_NTP_ prefer
Аргумент prefer указывает на предпочтение этого сервера перед остальными.
На следующем этапе настройки нужно прописать в rc.conf
ntpd_enable="YES"
Теперь FreeBSD будет постоянно сверять свои часы с NTP сервером.

dmitryst,

net time - на самбе выполнять :)

Dimon, а зачем? Пусть уж контроллер домена всем выдает эталон времени, а на файловом сервере я буду синхронизироваться, всего-то делов..
Кстати, билетик Kerberos получить не удалось, пароль, видите ли, неправильный, но к домену подсоединился, клиенты шары видят, читать/писать могут. Пробую включить ACL на отдельном диске..

Не получается-
tunefs -a enable /shares
tunefs: ACLs set
tunefs: /dev/ad0s1a: failed to write superblock

Галочек не будет? :(

а зачем? Пусть уж контроллер домена всем выдает эталон времени, а на файловом сервере я буду синхронизироваться, всего-то делов.. »
Дык я о том же: файл-сервер с помощью утилитки net из пакета самбы будет синхронизить свое время с контроллером домена. Просто предложил как одно из решений - даже ntp не нужно ставить, а эффект тот же. :)
Кстати, билетик Kerberos получить не удалось, пароль, видите ли, неправильный »
klist что говорит? Как вариант: удали все билеты командой kdestroy и kinit'ом получи заново.

Просто предложил как одно из решений »
да, но так проще - одну строку в конфиг, и одну в rc.conf :)

klist что говорит? »
говорит, что неправильный пароль. А нужен этот билет вообще? В домен-то я зашел, доступ есть.

Я так понимаю, что получение билета - это чтобы проверить работу кербероса, и ничего более.

У вас вообще winbind отрабатывает?
# wbinfo -p
# wbinfo -t
# wbinfo -g
# wbinfo -u

У вас вообще winbind отрабатывает?
# wbinfo -p
# wbinfo -t
# wbinfo -g
# wbinfo -u »
да, всё есть, и группы и юзеры. Не поленился, поставил еще одну FreeBSD, настроил, керберовский билет опять получить не смог, пароль, типа, не совпадает. А и пёс с ним, в домен вошел, юзеры файлы видят, всё хорошо

Важно! В конфиг самбы обязательно добавить "nt acl support = yes", а то галочек не будет..

Интересно, а зачем давать права доменному админу два раза: один раз на файловую систему, а другой - на расшаренные папки? Может быть, сначала дать права на файловую систему, а потом создавать расшаренные папки, уже имея на них права администратора домена? Так получится?
Хочется сделать всё проще и прозрачнее.
У меня wbinfo отрабатывает отлично, списки получаются, и билеты тоже. Вот почему Гном, собака, пишет под рутом, что нет прав, тоже вопрос...

Может быть, сначала дать права на файловую систему, а потом создавать расшаренные папки, уже имея на них права администратора домена? »
Я так и сделал - присвоил папку /shares/data админу, а затем по сети создал внутри неё ещё папки для других пользователей (но окончательно запутался в правах доступа, это вам не 755 выставлять :biggrin:. Кстати, где можно найти толковое разъяснение этих прав доступа под win?)