我正在运行已加入 Windows Server 2019 AD 的 AlmaLinux 和 Samba Winbind。域用户有主目录和 pccommon 目录(共享文件夹)。
当我在活动目录中创建新的域用户时,我必须在 /home 中的 Linux 机器上创建一个新文件夹并将其所有者更改为该用户的名称。
mkdir -p /home/newaccount
chown IIT\\newaccount: /home/newaccount
/etc/samba/smb.conf
idmap config * : rangesize = 1000000
idmap config * : range = 100000-19999999
idmap config * : backend = autorid
template homedir = /home/%U
template shell = /sbin/nologin
; winbind use default domain = yes
; winbind enum users = yes
; winbind enum groups = yes
winbind max domain connections = 10
winbind expand groups = 5
ntlm auth = yes
# workaround za https://bugzilla.samba.org/show_bug.cgi?id=11081 ?
#client schannel = no
[homes]
writable = yes
create mask = 0711
directory mask = 0711
map hidden = yes
map system = yes
invalid users = root nobody
csc policy = disable
root preexec = /usr/local/bin/netlogonpr %U
veto files = /autorun.inf/*.zepto/*.ZEPTO/*.scr/*.SCR/*.wsf/*.WSF/*.docm/*.DOCM/
delete veto files = yes
[pccommon]
path = /home/pccommon
read only = no
acl_xattr:ignore system acls = yes
问题
问题是域用户能够看到彼此的主目录。即使他们无法写入,这仍然是一个问题。如何让每个域用户只能看到他们自己的主目录,而看不到其他人的主目录?
答案1
我建议您修改“root preexec”脚本来检查用户主目录是否存在,如果不存在则创建它。
删除无效用户行并将其替换为“有效用户 = %S”
这将使用户主目录仅对用户可见,如果不存在,则会为您创建该目录。