Назад | Перейти на главную страницу

«Блуждающие» профили гетерогенной среды

Под «перемещаемыми профилями» я действительно имею в виду «общие домашние каталоги».

Итак, я установил пару AD и поделился папкой на \\ad-1\homes. Затем установите пользовательский объект AD для монтирования H:\ = \\ad-1\homes\%username%. Это отлично работает в Windows (как и следовало ожидать).

Я также настроил перенаправление папок в объекте групповой политики в подразделении пользователя, чтобы указать документы на \\ad-1\homes\%username%\Documents и так далее.

В Windows все работает так, как и следовало ожидать. Ура.

ТЕМ НЕ МЕНИЕ.

Linux - это другая история. С помощью Winbind и Samba я присоединился к домену. Нет проблем.

# wbinfo -u
PRODUCT\administrator
PRODUCT\guest
PRODUCT\krbtgt
PRODUCT\aa
PRODUCT\ab

Я отредактировал uidNumber и gidNumber AD, чтобы получить следующее:

# wbinfo -i PRODUCT\\aa
PRODUCT\aa:*:10001:10000:aa:/home/PRODUCT/aa:/bin/bash

Я наивно думал, что смогу сесть \\ad-1\homes на /home/$DOMAIN и поскольку имена пользователей совпадают, я мог бы использовать их в качестве домашних каталогов.

За исключением того, что общий ресурс cifs монтируется при загрузке, как root, разрешения dwrxr-x-r-x root root . полностью вниз по дереву каталогов, поэтому пользователи не могут писать в них.

Я перепробовал почти все комбинации вариантов mount.cifs, включая многообещающий "multiuser", и нашел лучшие результаты, используя sec=krb5i.

Я хочу иметь возможность смонтировать каталог \ ad-1 \ homes поверх / home / $ DOMAIN, чтобы он выглядел как

name  owner
aa/ DOMAIN\aa
ab/ DOMAIN\ab
administrator DOMAIN\administrator

и так далее.

Кто-нибудь знает, как это возможно?

Windows 2008 R2, установка на SLES 11 SP2.

Мы делаем это с нашими ящиками Debian, присоединенными к домену Active Directory (winbind). Мы используем pam_mkhomedir для создания домашней папки в / home / EXAMPLE / $ USER для пользователей AD при входе в систему. затем pam_mount выполняет монтирование домашнего каталога AD. В Debian нам нужно было установить libpam-mount, pam_mkhomedir был установлен по умолчанию

После установки изменяются следующие файлы:

/etc/security/pam_mount.conf.xml:

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<pam_mount>
<debug enable="0" />
<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other,workgroup,nosetuids,noexec,nosuid" />
<mntoptions require="nosuid,nodev" />
<logout wait="0" hup="0" term="0" kill="0" />
<mkmountpoint enable="1" remove="true" />
<!--
  Replace "fs1.ad.example.com" with your Windows file server.
  We mount our AD user homes under /home/EXAMPLE, change this to suit your needs.
  Edit "workgroup=EXAMPLE" to use your domain/realm.
-->
<volume fstype="cifs" server="fs1.ad.example.com" path="home/%(USER)" mountpoint="/home/EXAMPLE/%(USER)" user="*" options="workgroup=EXAMPLE,uid=%(USER),dir_mode=0700,file_mode=0700,nosuid,nodev" />

/etc/pam.d/common-session:

# <snip>
# We use pam to create the AD user home drives
session required        pam_mkhomedir.so skel=/etc/skel/ umask=0077
session optional        pam_mount.so nullok try_first_pass

Например, когда я (FCSD \ jscott) вхожу в систему с Linux, моя домашняя папка AD \\ staff \ home \ jscott монтируется как / home / FCSD / jscott.

Я никогда не делал того, что ты ищешь, но я считать экспериментальный CONFIG_CIFS_ACL если вы хотите сделать это с помощью одной точки монтирования. В противном случае то, что делает @jscott, должно сработать, хотя домашний каталог каждого пользователя является новой точкой монтирования, а ACL в домашнем каталоге работать не будут.