Samba + AD + квоты

Zhan · 04 Марта 2010, 17:05

Предистория.
есть файлопомойка на Samba с интеграцией в AD размером 700Гб. Очень быстро заполнилась... юзвери ваще хранят там что тока вздумается.
периодические пинки типа: "Почистите файловый сервер!" и самоличное удаление фильмов, музыки и тд - НЕ ВЫХОД!!!

История.
Теперь привезли новый сервак емкостью 3,5 Тб

http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/wacko.gif\' class=\'bbc_emoticon\' alt=\':wacko:\' />
Но хоть места и много, все равно уверен, что закидают его тоже за годик.

Задача.
Решил сразу обезопасить себя с помощью квот. То есть использовал квоту - будь добр удали лишнее.

Самба зашаривает несколько ресурсов (по отделам). То есть на чужую шару доступа нет.
Попробовал решить проблему с помощью дисковых квот, но не вышло.
В домене как обычно группа (первичная) Domain Users.
И если я допустим прописываю квоту на группу Finance, и кто то из этой группы копирует файл на шару, то квота считается не на группу Finance, а на первичную Domain Users

http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/blink.gif\' class=\'bbc_emoticon\' alt=\':blink:\' />

наш многоуважаемый Vicpo посоветовал квотировать поюзерно.
прислушался и попытался...
Даю квоту юзеру Buch1 (состоящему в группе Finance), прошу залить его что нить на шару. обновляю квоты - и вижу что Buch1 залил 0 байт, а все что он залил записалось на рута

http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/blink.gif\' class=\'bbc_emoticon\' alt=\':blink:\' />
короче все вышеупомянутое НЕВАРИАНТ

Погуглив нашел smbcquotas - пакет или дополнение к самбе специально для NT квотирования. но не могу догнать как его заюзать.
Помогите пожалуйста кто шарит в этой фиче или предложите альтернативный выход.

log · 04 Марта 2010, 17:40

Цитата: Zhan от 04 Марта 2010, 17:05Погуглив нашел smbcquotas - пакет или дополнение к самбе специально для NT квотирования. но не могу догнать как его заюзать.
Помогите пожалуйста кто шарит в этой фиче или предложите альтернативный выход.

http://forum.redhat-club.org/viewtopic.php?id=8060
пишут, что самба понимает обычные квоты.

Zhan · 05 Марта 2010, 10:18

Цитата: log от 04 Марта 2010, 17:40http://forum.redhat-club.org/viewtopic.php?id=8060
пишут, что самба понимает обычные квоты.

причем тут самба понимает? самба тут ничего не понимает - это обычные квоты на уровне файловой системы...
а выше я написал почему именно не подходят квоты на уровне ФС.

log · 05 Марта 2010, 10:30

Цитата: Zhan от 05 Марта 2010, 10:18причем тут самба понимает? самба тут ничего не понимает - это обычные квоты на уровне файловой системы...
а выше я написал почему именно не подходят квоты на уровне ФС.

А самба, стесняюсь спросить, с чем работает?
Забиваете самба-юзеров/группы в систему, даете квоты по группам, и самба считается с квотами, имхо.

Vicpo · 05 Марта 2010, 10:44

Цитата: log от 05 Марта 2010, 10:30А самба, стесняюсь спросить, с чем работает?
Забиваете самба-юзеров/группы в систему, даете квоты по группам, и самба считается с квотами, имхо.

samba + AD + квоты в теме же

http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/tongue.gif\' class=\'bbc_emoticon\' alt=\':P\' />

log · 05 Марта 2010, 11:05

Ладно-ладно...

http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/smile.gif\' class=\'bbc_emoticon\' alt=\':)\' />
Из всего этого я вижу одно -что самба положила на AD+квоты.
Вы бы хоть конфиг самбы показали, что ли...
http://smb-conf.ru/smbcquotas-get-or-set-quotas-on-ntfs-5-shares.html -что непонятного?

Zhan · 05 Марта 2010, 11:18

2 log

вы кажется не поняли суть проблемы...
самба берет не локальных юзеры/группы, а мапит их из Active Directory

зачем конфиг самбы? с ней все нормально! она работает и все делает правильно, доступ разграничивает, но ИМХО она не умеет самолично квотировать, поэтому и есть такая фича как smbcquotas.

log · 05 Марта 2010, 11:21

Цитата: Zhan от 05 Марта 2010, 11:182 log

вы кажется не поняли суть проблемы...
самба берет не локальных юзеры/группы, а мапит их из Active Directory

зачем конфиг самбы? с ней все нормально! она работает и все делает правильно, доступ разграничивает, но ИМХО она не умеет самолично квотировать, поэтому и есть такая фича как smbcquotas.

По ссылке сходите, там как раз то что нужно. ман smbcquotas

http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/wink.gif\' class=\'bbc_emoticon\' alt=\';)\' />
Цитирую

ЦитироватьОПИСАНИЕ

Утилита является частью пакета samba(7).

Программа smbcquotas управляет Квотами NT на общих файловых ресурсах SMB.

Так что самба умеет квоты.

Zhan · 05 Марта 2010, 11:48

2 log
ман я читал. и не вкурил. видать IQ не хватило, потому и запостил здесь.
Если вас не затруднит напишите мне синтаксис команды для установки квоты размером 20Гб на папку /data/finance для доменного юзера buch1 на сервере smb.domain.local
я буду вам премного благодарен.

log · 05 Марта 2010, 12:01

Цитата: Zhan от 05 Марта 2010, 11:482 log
ман я читал. и не вкурил. видать IQ не хватило, потому и запостил здесь.
Если вас не затруднит напишите мне синтаксис команды для установки квоты размером 20Гб на папку /data/finance для доменного юзера buch1 на сервере smb.domain.local
я буду вам премного благодарен.

Но по ману как то Вы же пытались установить квоту? Давайте вместе будем думать.

Код [Выделить]

smbcquotas //smb.domain.local/data/finance -u buch1 -S UQLIM:buch1:19327352832/21474836480Софтлимит-19327352832, хардлимит-21474836480. все в байтах.

Zhan · 05 Марта 2010, 12:59

вот что выдало:

Код [Выделить]

[root@smb]# smbcquotas //smb.domain.local/data/finance -u buch1 -S UQLIM:buch1:19327352832/21474836480
Please specify only one option of <-L|-F|-S|-u>
[root@smb]#

log · 05 Марта 2010, 13:07

Ok. Вот так

Код [Выделить]

smbcquotas //smb.domain.local/data/finance -S UQLIM:buch1:19327352832/21474836480

Zhan · 05 Марта 2010, 13:13

Код [Выделить]

[root@smb]# smbcquotas //smb.domain.local/data/finance -S UQLIM:buch1:19327352832/21474836480
Password:
failed session setup with NT_STATUS_LOGON_FAILURE
cli_full_connection failed! (NT_STATUS_LOGON_FAILURE)
[root@smb]#

log · 05 Марта 2010, 13:15

Цитата: Zhan от 05 Марта 2010, 13:13
Код [Выделить] Expand
[root@smb]# smbcquotas //smb.domain.local/data/finance -S UQLIM:buch1:19327352832/21474836480 Password: failed session setup with NT_STATUS_LOGON_FAILURE cli_full_connection failed! (NT_STATUS_LOGON_FAILURE) [root@smb]#

а чей пароль забивали?

Zhan · 05 Марта 2010, 13:21

пароль buch1
пароль root
пробовал юзера представлять как buch1@DOMAIN.LOCAL и buch1@DOMAIN и DOMAIN\buch1
все равно таже ошибка

http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/sad.gif\' class=\'bbc_emoticon\' alt=\':(\' />

вообще странно что у этого smbcquotas нету нормального HOWTO
такое ощущение - что его никто не юзал никогда

log · 05 Марта 2010, 13:24

Цитата: Zhan от 05 Марта 2010, 13:21пароль buch1
пароль root
пробовал юзера представлять как buch1@DOMAIN.LOCAL и buch1@DOMAIN и DOMAIN\buch1
все равно таже ошибка http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/sad.gif\' class=\'bbc_emoticon\' alt=\':(\' />

вообще странно что у этого smbcquotas нету нормального HOWTO
такое ощущение - что его никто не юзал никогда

Да уж. Пока вот почитайте в тему, вроде. Я пока дальше посмотрю, в чем проблема может быть.
Может имеет смысл попробовать с ключем -N (не запрашивать пароль)?

Код [Выделить]

smbcquotas //smb.domain.local/data/finance -S UQLIM:buch1:19327352832/21474836480 -N

И вот еще интересный ключ

Цитировать-k

Попытаться авторизоваться через kerberos. Иссользуется только в среде Active Directory.

Zhan · 05 Марта 2010, 13:43

ключи -N -k дали тот же результат, но без запроса пароля.

log · 05 Марта 2010, 14:09

Цитата: Zhan от 05 Марта 2010, 13:43ключи -N -k дали тот же результат, но без запроса пароля.

Код [Выделить]

smbcquotas //smb.domain.local/data/finance -S UQLIM:buch1:19327352832/21474836480 -U buch1И покажите smbclient -L localhost -U%

Zhan · 05 Марта 2010, 14:26

задача решена!

на озарение повлияла статья, а именно строки

ЦитироватьСкрипт создает следующую структуру: в домене организованы группы на основании имён депаратаментов, эти группы являются Primary Group для тех кто в них находится.

Я изначально давал квоту на уровне ФС для группы и кто то копировал файлы на самбу то писалось на группу Domain Users
Отсюда вывод - надо сделать группу-подразделение основной для юзера и тогда все что он скопировал будет считаться на группу в которой он состоит
Зашел в АД сделал основной для бухгалтеров группу Finance вместо Domain Users и все. Теперь тупо через Webmin или в консоли (кому как удобно) даем квоты на группы

http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/rolleyes.gif\' class=\'bbc_emoticon\' alt=\':rolleyes:\' />

P.S. SMBCQUOTAS ф топку

http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/bad_evil.gif\' class=\'bbc_emoticon\' alt=\':bad_evil:\' /> - я так понял что его никто не смог заюзать - даже наши заокенские товарищи.

log · 05 Марта 2010, 14:34

Поздравляю.
Все-таки smbcquotas напрямую завязана с квотами ФС. То есть, включаешь поддержку квот в ФС, и только после этого задаешь квоты в smbcquotas.

Samba + AD + квоты

04 Марта 2010, 17:40 #1

05 Марта 2010, 10:18 #2

05 Марта 2010, 10:30 #3 Последнее редактирование: 05 Марта 2010, 10:30 от log

05 Марта 2010, 10:44 #4

05 Марта 2010, 11:05 #5 Последнее редактирование: 05 Марта 2010, 11:11 от log

05 Марта 2010, 11:18 #6

05 Марта 2010, 11:21 #7 Последнее редактирование: 05 Марта 2010, 11:30 от log

05 Марта 2010, 11:48 #8 Последнее редактирование: 05 Марта 2010, 11:50 от Zhan

05 Марта 2010, 12:01 #9 Последнее редактирование: 05 Марта 2010, 12:28 от log

05 Марта 2010, 12:59 #10

05 Марта 2010, 13:07 #11

05 Марта 2010, 13:13 #12

05 Марта 2010, 13:15 #13

05 Марта 2010, 13:21 #14

05 Марта 2010, 13:24 #15 Последнее редактирование: 05 Марта 2010, 13:29 от log

05 Марта 2010, 13:43 #16 Последнее редактирование: 05 Марта 2010, 13:56 от Zhan

05 Марта 2010, 14:09 #17

05 Марта 2010, 14:26 #18

05 Марта 2010, 14:34 #19