Под «перемещаемыми профилями» я действительно имею в виду «общие домашние каталоги».
Итак, я установил пару AD и поделился папкой на \\ad-1\homes
. Затем установите пользовательский объект AD для монтирования H:\ = \\ad-1\homes\%username%
. Это отлично работает в Windows (как и следовало ожидать).
Я также настроил перенаправление папок в объекте групповой политики в подразделении пользователя, чтобы указать документы на \\ad-1\homes\%username%\Documents
и так далее.
В Windows все работает так, как и следовало ожидать. Ура.
ТЕМ НЕ МЕНИЕ.
Linux - это другая история. С помощью Winbind и Samba я присоединился к домену. Нет проблем.
# wbinfo -u
PRODUCT\administrator
PRODUCT\guest
PRODUCT\krbtgt
PRODUCT\aa
PRODUCT\ab
Я отредактировал uidNumber и gidNumber AD, чтобы получить следующее:
# wbinfo -i PRODUCT\\aa
PRODUCT\aa:*:10001:10000:aa:/home/PRODUCT/aa:/bin/bash
Я наивно думал, что смогу сесть \\ad-1\homes
на /home/$DOMAIN
и поскольку имена пользователей совпадают, я мог бы использовать их в качестве домашних каталогов.
За исключением того, что общий ресурс cifs монтируется при загрузке, как root, разрешения dwrxr-x-r-x root root .
полностью вниз по дереву каталогов, поэтому пользователи не могут писать в них.
Я перепробовал почти все комбинации вариантов mount.cifs, включая многообещающий "multiuser
", и нашел лучшие результаты, используя sec=krb5i
.
Я хочу иметь возможность смонтировать каталог \ ad-1 \ homes поверх / home / $ DOMAIN, чтобы он выглядел как
name owner
aa/ DOMAIN\aa
ab/ DOMAIN\ab
administrator DOMAIN\administrator
и так далее.
Кто-нибудь знает, как это возможно?
Windows 2008 R2, установка на SLES 11 SP2.
Мы делаем это с нашими ящиками Debian, присоединенными к домену Active Directory (winbind). Мы используем pam_mkhomedir
для создания домашней папки в / home / EXAMPLE / $ USER для пользователей AD при входе в систему. затем pam_mount
выполняет монтирование домашнего каталога AD. В Debian нам нужно было установить libpam-mount
, pam_mkhomedir
был установлен по умолчанию
После установки изменяются следующие файлы:
/etc/security/pam_mount.conf.xml:
<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<pam_mount>
<debug enable="0" />
<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other,workgroup,nosetuids,noexec,nosuid" />
<mntoptions require="nosuid,nodev" />
<logout wait="0" hup="0" term="0" kill="0" />
<mkmountpoint enable="1" remove="true" />
<!--
Replace "fs1.ad.example.com" with your Windows file server.
We mount our AD user homes under /home/EXAMPLE, change this to suit your needs.
Edit "workgroup=EXAMPLE" to use your domain/realm.
-->
<volume fstype="cifs" server="fs1.ad.example.com" path="home/%(USER)" mountpoint="/home/EXAMPLE/%(USER)" user="*" options="workgroup=EXAMPLE,uid=%(USER),dir_mode=0700,file_mode=0700,nosuid,nodev" />
/etc/pam.d/common-session:
# <snip>
# We use pam to create the AD user home drives
session required pam_mkhomedir.so skel=/etc/skel/ umask=0077
session optional pam_mount.so nullok try_first_pass
Например, когда я (FCSD \ jscott) вхожу в систему с Linux, моя домашняя папка AD \\ staff \ home \ jscott монтируется как / home / FCSD / jscott.
Я никогда не делал того, что ты ищешь, но я считать экспериментальный CONFIG_CIFS_ACL если вы хотите сделать это с помощью одной точки монтирования. В противном случае то, что делает @jscott, должно сработать, хотя домашний каталог каждого пользователя является новой точкой монтирования, а ACL в домашнем каталоге работать не будут.