LINUX.ORG.RU
ФорумAdmin

Samba PDC + setfacl — как задать права по умолчанию для новых файлов?

 ,


0

1

Приветвую.

Подскажите, пожалуйста, по команде setfacl.
Есть домен на samba 4 и отдельная машинка с файловым сервером тоже на samba 4. На файловом сервере выставлены разграничение прав доступа к сетевым папкам в соответствии с учётками в АД. Файловая система поддерживает расширенные атрибуты прав доступа:

UUID=XXXXXXX/data1          ext4    defaults,noexec,user_xattr,acl,barrier=1        0       2
Есть следующее дерево папок, в котором пытаюсь реализовать следующее:

- share (группа «Domain Users» имеет правона просмотр содержимого каталога)
--- Файлообменник (группа «Domain Users» доступ на чтение и запись)
--- Руководство (папку видит и имеет право на запись группа «Руководство»)
--- Продажи (группа «Domain Users» - просматривает содержимое, но не может удалять\изменять фалы; группа «Продажи» может изменять\удалять\создавать фалы)

Проблемой является папка «Продажи».
При помощи команды setfacl создаю права для «Domain Users»:

setfacl -R -m g:"Domain Users":r-x Продажи
Создаю права для группы «Продажи»:
setfacl -R -m g:Продажи:rwx Продажи
Права по умолчанию:
setfacl -m default:g:Продажи:rwx Продажи
И всё хорошо, сотрудники отдела продаж имеют полный доступ, а пользователи домена только на чтение:
getfacl Продажи
# file: Продажи
# owner: root
# group: Продажи
user::rwx
group::r-x
group:Domain\040Users:r-x
group:Продажи:rwx
mask::rwx
other::---

Проблема заключается в том, что при создании новых фалов пользователями группы «Продажи», файлам присваивается группа «Domain Users», и любой пользователь автоматически имеет право на удаление или правку нового файла.
 
ls -l Продажи
...
drwxrws---+  2 user   Domain Users   4096 июл 26 16:40 1

Вопрос: Как задать автоматическое присвоение вновь созданным\скопированным\изменённым файвам нужную групп (нужные права доступа), в частности, задать по умолчанию группу «Продажи», а не «Domain Users» с соответствующими ограничениями?

На всякий случай конфиг samba файлового сервера:

cat /etc/samba/smb.conf
[global]
   workgroup = DOMAIN
   server string = Файловый сервер
   security = ADS
   realm = DOMAIN.RU
   idmap config *:backend = tdb
   idmap config *:range = 70001-80000
   idmap config DOMAIN:backend = ad
   idmap config DOMAIN:schema_mode = rfc2307
   idmap config DOMAIN:range = 500-40000

    winbind nss info = rfc2307
    winbind trusted domains only = no
    winbind use default domain = yes

create mask = 0750
directory mask = 0750
vfs objects = acl_xattr btrfs
map acl inherit = Yes
store dos attributes = Yes

[share]
   path = /data1/share
   read only = no
   hide unreadable = yes

PS: Нашёл ещё команду, которая ставил флаг группы на корневую папку

chmod g+s Продажи
После неё члены группы «Domain Users» не могут удалять новые файлы, хотя ls -l выдаёт тоже самое
 
ls -l Продажи
...
drwxrws---+  2 user   Domain Users   4096 июл 26 16:40 1
Вроде работает, но не понятно грамотно это или просто какой-то костыль. Хотелось бы грамотно.

группа пользователя создавшего берется из так называемой «Первичной/Основной группы». Меняешь у юзеров-продажников основную группу на необходимую и пользуешься. P.S. делается в домене «AD Users & Computer»

Atlant ★★★★★ ()
Последнее исправление: Atlant (всего исправлений: 2)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.