El 09/08/16 a las 13:22, Camaleón escribió: > El Tue, 09 Aug 2016 12:34:52 -0300, Laotrasolucion escribió: > >> El 09/08/16 a las 11:58, Camaleón escribió: > > (...) > >>>> Lo que si me pareció raro y corrijanme si no es así, es que la carpeta >>>> sysvol no tiene ACL definidos para grupos de AD. Pienso que deberia >>>> tener al menos los grupos de "domain admins" "domain users" >>>> >>>> >>>> root@pdc:/var/lib/samba# getfacl sysvol/ >>>> # file: sysvol/ >>>> # owner: root # group: root user::rwx group::rwx other::r-x >>>> >>>> >>>> Y cuando quiero crear un archivo en una unidad compartida, por ejemplo >>>> sysvol, me deja crearlo pero no me deja modificarlo o guardarlo. >>>> >>>> desde ya muchas gracias. >>> >>> Pues sobre los permisos adecuados de ese recurso, ni idea :-? >>> >>> Lo que sí puedes hacer es apuntar los valores que tiene actualmente por >>> si algo saliera mal y quisieras recuperarlos y reiniciarlos para ver si >>> coinciden con los que tenías (comando extraído de la wiki¹ de Samba): >>> >>> *** >>> Reset wrong SysVol ACLs (if you use the "sysvolcheck" option, it will >>> check the ACLs instead) >>> # samba-tool ntacl sysvolreset *** >>> >>> ¹ >>> https://wiki.samba.org/index.php/ > Updating_Samba#Update_an_early_Samba_4_version_on_Samba_Active_Directory_DCs >>> >> >> casualmente probé varias de las soluciones de samba, en el caso que >> nombras @camaleon no me dio errores de ningún tipo. > > El comando no tiene que darte errores sino establecer los permisos > predeterminados sobre el recurso sysvol, nada más. Si te hubiera dado > algún error hubiera sido extraño. > >> Navegando por ahí encontré un pdc en jessie que se llama "turnkey domain >> controller". Probé instalarlo y con RSAT puedo crear las GPO sin >> problemas, leer/escribir/modificar archivos en la unidad compartida >> sysvol. > > Interesa que trabajes con los mismos usuarios y el mismo archivo de GPO > que tienes en samba, no vaya a ser que tenga algún problema. > >> Estoy investigando cual puede ser la causa de esto, por ahora vi que la >> carpeta sysvol tiene definidos grupos por default con ACL y el grupo es >> 3000000 que no tengo idea de donde lo obtiene. >> >> root@dc1 lib/samba# getfacl sysvol/ >> # file: sysvol/ >> # owner: root # group: 3000000 user::rwx user:root:rwx group::rwx >> group:3000000:rwx group:3000001:r-x group:3000002:rwx group:3000003:r-x >> mask::rwx other::--- >> default:user::rwx default:user:root:rwx default:group::--- >> default:group:3000000:rwx default:group:3000001:r-x >> default:group:3000002:rwx default:group:3000003:r-x default:mask::rwx >> default:other::--- > > Los permisos han cambiado, sí. Pues si te sigue dando el mismo error, > comprueba que tengas bien configurada la utilidad RSAT: > > https://wiki.samba.org/index.php/Installing_RSAT > > Saludos, > Hola, Después de renegar un buen rato y probar varias configuraciones, tuve suerte. Habilite el servicio s3fs (fuse) en smb.conf para poder editar los FS en el pdc y crear las gpo sin problemas. No era un problema de samba, ni rsat, ni los clientes. el problema como siempre digo suele estar entre el teclado y la silla. Dejo la configuración del pdc por si a alguien le resulta útil. /etc/resolv.conf search test.lan nameserver 172.21.0.2 nameserver 172.21.0.254 /etc/krb5.conf [libdefaults] default_realm = TEST.LAN dns_lookup_realm = false dns_lookup_kdc = true /etc/samba/smb.conf # Global parameters [global] workgroup = TEST realm = test.lan netbios name = PDC server role = active directory domain controller dns forwarder = 172.21.0.254 server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate, dns idmap_ldb:use rfc2307 = yes [netlogon] path = /var/lib/samba/sysvol/test.lan/scripts read only = No [sysvol] path = /var/lib/samba/sysvol read only = No ¹https://wiki.samba.org/index.php/Samba4/s3fs
Attachment:
signature.asc
Description: OpenPGP digital signature