我正在執行 AlmaLinux 並將 Samba Winbind 加入 Windows Server 2019 AD 中。網域使用者有主目錄和 pccommon 目錄(共用資料夾)。
當我在活動目錄中建立新的網域使用者時,我必須在 Linux 電腦上的 /home 中建立一個新資料夾,並將其所有者變更為該使用者的名稱。
mkdir -p /home/newaccount
chown IIT\\newaccount: /home/newaccount
/etc/samba/smb.conf
idmap config * : rangesize = 1000000
idmap config * : range = 100000-19999999
idmap config * : backend = autorid
template homedir = /home/%U
template shell = /sbin/nologin
; winbind use default domain = yes
; winbind enum users = yes
; winbind enum groups = yes
winbind max domain connections = 10
winbind expand groups = 5
ntlm auth = yes
# workaround za https://bugzilla.samba.org/show_bug.cgi?id=11081 ?
#client schannel = no
[homes]
writable = yes
create mask = 0711
directory mask = 0711
map hidden = yes
map system = yes
invalid users = root nobody
csc policy = disable
root preexec = /usr/local/bin/netlogonpr %U
veto files = /autorun.inf/*.zepto/*.ZEPTO/*.scr/*.SCR/*.wsf/*.WSF/*.docm/*.DOCM/
delete veto files = yes
[pccommon]
path = /home/pccommon
read only = no
acl_xattr:ignore system acls = yes
問題
問題是網域使用者能夠看到彼此的主目錄。即使他們無法在那裡寫作,但這仍然是一個問題。如何使每個網域使用者只能看到自己的主目錄而不是其他人的主目錄?
答案1
我建議您更改“root preexec”腳本來檢查用戶主目錄是否存在,如果不存在則創建它。
刪除無效用戶行並將其替換為“有效用戶 = %S”
這將使用戶主目錄僅對用戶可見,並且如果不存在,將為您建立它。