Samba 4 et affichage des quotas

Venez ici partager vos astuces et aides autour de Samba4
Fred_O
Messages : 5
Inscription : 06 nov. 2017 - 16:14

06 nov. 2017 - 16:42

Bonjour.
Nous avons monté, avec succès, une maquette sous samba4 (4.7.0 - Debian stretch 9.2). Plusieurs utilisateurs et groupes ont été créés.
Des partitions, sous LVM, ont été montées et destinées à des usages différents ; stockages pour utilisateur et groupes d'utilisateurs (/home/samba/users et /home/samba/groups)
Nous avons introduit la gestion des quotas pour les utilisateurs et cela fonctionne. C'est à dire que lorsque nous fixons un quota pour un utilisateur sur la partition réservée aux utilisateurs, et que ce dernier se connecte (w7 ou w2008r2), un lecteur mappé personnel est affecté via gpo (G: par exemple) et celui-ci affiche correctement les valeurs de stockage utilisé et maximal dédié à l'utilisateur (ex : 50Mo par utilisateur).
Nous utilisons le même principe pour les groupes : nous mappons via gpo un lecteur pour le groupe auquel appartient l'utilisateur (F: par exemple avec un stockage maximal de 100Mo pour le groupe). Le mappage fonctionne correctement, mais l'affichage du quota n'est pas correct. Les valeurs de stockage utilisée/maximale sont erronées : la totalité de l'espace disque de la partition (/home/samba/groups) s'affiche. En revanche le quota est bien appliqué, c'est à dire que si nous essayons de copier un fichier de 150 Mo dans le lecteur du groupe, la copie ne se fait pas car la taille du fichier est supérieure à la capacité fixée du lecteur (100Mo). Seul l'affichage n'est pas correct, et c'est un peu déconcertant pour les utilisateurs.
Avez-vous déjà rencontré ce problème ?
Merci.
Avatar de l’utilisateur
dcardon
Expert WAPT
Messages : 1359
Inscription : 18 juin 2014 - 09:58
Localisation : Saint Sébastien sur Loire
Contact :

12 janv. 2018 - 17:19

D'après mes souvenirs, les quotas de groupe s'applique au groupe primaire du fichier (le G des droits UGO) dans l'état actuel des choses. Sous environnement AD, le groupe par primaire d'un utilisateur AD est "domain users" et il est vraiment pas recommandé de le changer. Donc le groupe principal lors de la création d'un fichier sera "domain users". Donc ça rend le fonctionnement des quota de groupe un peu caduque, à moins de faire un "force group" sur la définition du share.
Par contre les quota users pour des HOME par exemple fonctionne très bien.

De toute façon des quotas stricts c'est surtout utile en environnement scolaire. En environnement professionnel, il y aura toujours un VIP qui aura un truc super important à faire pour vous faire sautez en urgence les quotas que vous aurez mis en place, sinon il ne pourra pas terminer son truc super urgent et super important.

Denis
Denis Cardon - Tranquil IT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
Fred_O
Messages : 5
Inscription : 06 nov. 2017 - 16:14

01 févr. 2018 - 12:34

Tout d'abord désolé de ma réponse tardive, et merci pour les indications.
dcardon a écrit : D'après mes souvenirs, les quotas de groupe s'applique au groupe primaire du fichier (le G des droits UGO) dans l'état actuel des choses. Sous environnement AD, le groupe par primaire d'un utilisateur AD est "domain users" et il est vraiment pas recommandé de le changer.
Je me suis mal fait comprendre. Nous n'avons pas modifié le groupe primaire de l'utilisateur (en fait nous l'avions fait sur une précédente maquette, et ton avertissement est tout à fait justifié ;), donc nous n'avons pas reproduit ce paramétrage).
dcardon a écrit :Donc le groupe principal lors de la création d'un fichier sera "domain users". Donc ça rend le fonctionnement des quota de groupe un peu caduque, à moins de faire un "force group" sur la définition du share.
Par contre les quota users pour des HOME par exemple fonctionne très bien.

De toute façon des quotas stricts c'est surtout utile en environnement scolaire. En environnement professionnel, il y aura toujours un VIP qui aura un truc super important à faire pour vous faire sautez en urgence les quotas que vous aurez mis en place, sinon il ne pourra pas terminer son truc super urgent et super important.

Denis
Je disais que le fonctionnement de quota de groupe fonctionne parfaitement :
- activation des quotas de groupe sur une partition LVM : /home/samba/groups. création du share (smb.conf)
- Via RSAT, dans l'AD, création d'un groupe "finances", affectation des utilisateurs à ce groupe
- Attribution d'un quota pour le groupe "finances"
- dans /home/samba/groups, on crée un répertoire FINANCES, dans les propriétés du répertoire on positionne le groupe (finances) auquel on attribue le contrôle total, ainsi que la propriété. Sous linux ses permissions sont:
drwxrwx- - - + root MONDOMAINE\finances FINANCES
- Lorsqu'un utilisateur du groupe "finances" se connecte à son profil, les GPO lui affectent ses lecteurs mappés (lecteurs personnel et de groupe).
- Pour le quota utilisateur, à l'affichage, l'espace restant et l'espace attribué sont bien matérialisés et fontionne bien dans les restrictions.
- En revanche pour le quota de groupe, l'affichage part en sucette : l'espace attribué n'est pas correct. On voit la taille totale de la partition /home/samba/groups (au lieu du quota groupe) tandis que l'espace restant est l'espace restant sur la totalité de la partition (au lieu de l'espace restant pour le groupe). MAIS les restrictions de quota sont bien appliquées. Si mon quota de groupe est de 150 Mo et que j'essaie d'y placer un fichier de 200Mo, on a droit à un warning.

Mon problème est finalement d'ordre esthétique, mais cela reste déstabilisant pour un utilisateur lambda. Et pour moi qui n'arrive pas à comprendre le pourquoi de cet affichage... car il doit y avoir une explication, une logique sur l'affichage de quota de groupe.
Verrouillé