LINUX.ORG.RU
ФорумAdmin

Права на доступ доменным группам. samba в AD

 ,


0

2

самба 3.6 в домене AD. есть шара с вложенными папками для сотрудников. владельцем каждой папки является пользователь АД, а группа владельца выставлена как доменная групаа DOMAIN\smb. Все работает нормально, пользователи пишут в свои папки, а из чужих только читают. Но вот понадобилось чтобы в одну папку могли писать несколько человек: создал в домене группу managers, на папку в самбе дал разрешение:

drwxrwxr-x+  9 DOMAIN\user1       DOMAIN\managers  4096 Май 23 01:03 share1
также пробовал прописать через setfacl. В итоге: user1 может все в папке, а менеджеры, которые входят в группы managers и smb могут только читать.
workgroup = DOMAIN
   realm = DOMAIN
   security = ads
   idmap config * : range = 30000-40000
   idmap config * : backend = rid
   template shell = /sbin/nologin
   winbind use default domain = false
   winbind offline logon = false
   winbind enum users = yes
   winbind enum groups = yes

[docs]
    comment = личные папки
    path = /media/storage/docs
    browseable = yes
    guest ok = no
    valid users = "@DOMAIN\smb","@DOMAIN\managers"
    read only = no
    create mask = 1755
    directory mask = 1755

Еще: если пользователь создает файл в папке, то группа владельца у него будет уже «пользователи домена» вместо smb. Такое ощущение будто самба видит только 1 группу пользователя - «пользователи домена», которая конечно подпадает по разрешение other 5 и не дает писать пользователю. В чем я ошибся? Всюду, где не смотрю примеры назначают права группам и все нормально. ЗЫ: если пользователя выгнать из managers и smb, то самба не пускает. wbinfo работает, любые запросы выполняются. Если запросить инфу по пользователю, то wbinfo выводит в списке managers.


Ответ на: комментарий от kostik87

я пробовал поставить разрешения через acl.

[root@storage docs]# getfacl share1
# file: share1
# owner: DOMAIN\134user1
# group: DOMAIN\134smb
user::rwx
user:DOMAIN\134admin:rwx
group::rwx
group:DOMAIN\134managers:rwx
mask::rwx
other::r-x
результат такой же. Или Вы что-то другое имели в виду?

nebel ()
write list = "@DOMAIN\smb","@DOMAIN\managers"

По наследованию прав почитай про setgid устанавливаемый на папку.
Да и acl должны работать, где-то ты ошибся.

menzoberronzan ()
Ответ на: комментарий от menzoberronzan

Спасибо, sgid делает именно то, что нужно. Все вложенные папки и файлы наследуют группу родителя.

kostik87, и Вам спасибо)

[docs]
    comment = личные папки
    path = /media/storage/docs
    browseable = yes
    guest ok = no
    valid users = "@DOMAIN\smb","@DOMAIN\managers"
    read only = no
    create mask = 1755
    directory mask = 1755
inherit owner = yes
inherit permissions =yes
Теперь группа верно проверяется. Как я понимаю create mask = 1755 directory mask = 1755 уже лишнее, ибо они переопределяются inherit`ами ?

nebel ()
Ответ на: комментарий от nebel

Как я понимаю create mask = 1755 directory mask = 1755 уже лишнее, ибо они переопределяются inherit`ами ?

Верно

menzoberronzan ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.