The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Samba Domain Member on lxc - File serving with acl"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Samba, вопросы интеграции Unix и Windows (Samba)
Изначальное сообщение [ Отслеживать ]

"Samba Domain Member on lxc - File serving with acl"  +/
Сообщение от neuch (ok), 09-Фев-21, 15:17 
Здравствуйте.

К Контроллеру Домена (ДК), работающему под самбой, Активной Директории (АД), приджойнен самба член из Виртуальной машины под lxc.

Этот член домена должен работать как файловый сервер использую windows ACL
lxc настроена на файловую систему: zfs
самба версия у члена: 4.12
бэкэнд: winbind 'ad'

Все настраивалось согласно самба вики. Расшаренная папка читается на виндовом клиенте и файлы и папки туда записываются.
НО НЕ работает очень нужное, - это возможность устанавливать разрешения на файлы/папки с Windows клиента. При попытке - Explorer виндоса говорит, что отсутствуют нужные права.
Кажется, что как то не верно ведет себя тема с SeDiskOperatorPrivilege?! Но я не знаю, что именно, все было сделано по мануалу и разрешение такое установлено для группы Unix Admins.

Пользователь от имени которого пытаюсь менять разрешения имеет uidNumber (rfc2307) атрибут в АД,
прайм группа (Domain Users) имеет gidNumber как и группа специально созданная для шары Unix Admins,
компьютер с которого пытаюсь менять разрешения имеет uidNumber
Навряд-ли дело в этих атрибутах. Я использовал так же winbind 'rid' бэкэнд - такая же проблема.

Все, что я нашел на самом высоком уровне логирования: какой от из модулей говорит, что отказано в доступе, в момент применения разрешений.

Пожалуйста, кто делал что-то подобное отзовитесь. Хотя бы узнать, что это действительно может работать?!

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от tonysemail (??), 11-Фев-21, 11:55   +/
lxc вручную настроен или из под, например, Proxmox?


Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2

2. Сообщение от neuch (ok), 11-Фев-21, 14:19   +/
> lxc вручную настроен или из под, например, Proxmox?

lxc работает под lxd

Как выяснилось, проблема решается изменением конфигурации контейнера на привилегированный.
Эта проблема, что-то из темы того, что пространство имен security.* может быть использовано только root юзером.
Контейнеры lxc используют ресурсы хоста, в том числе, как я понимаю, файловую систему. Упрощенно, из-за механизма работы непривилегированных контейнеров в них нет реального root юзера, который имел бы возможность изменять атрибуты security.*

К сожалению, так и не понятно (для меня по крайней мере), можно ли обойти это и использовать непривилегированные контейнеры. В целом использование привилегированных контейнеров не безопасно, но в моем случае это не является критичным.

Если кто-то все же знает, как это можно провернуть, буду безмерно счастлив принять эти сведения :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #3

3. Сообщение от stalker37email (ok), 12-Фев-21, 16:01   +/
>> lxc вручную настроен или из под, например, Proxmox?
> lxc работает под lxd
> Как выяснилось, проблема решается изменением конфигурации контейнера на привилегированный.

https://linuxcontainers.org/lxc/getting-started/

Creating unprivileged containers as a user


Как-то так...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру