[shara]
path = /usr/local/samba_shara
browseable = yes
read only = no
guest ok = yes
inherit permissions = yes

а так?

Не шмогла...

inherit permissions = yes

Почистил содержимое папки и снова провёл эксперимент по наполнению:

$ ls -l --group-directories-first /usr/local/samba_shara/

drwxrwxrwx 2 amok   amok    4096 Feb  8 00:40 copied by amok
drwxrwxrwx 2 nobody nogroup 4096 Feb  9 09:44 copied by XPMUser
drwxrwxrwx 2 amok   amok    4096 Feb  9 09:43 created by amok
drwxrwxrwx 2 nobody nogroup 4096 Feb  9 09:44 created by XPMUser
-rwxrw-r-- 1 amok   amok       0 Feb  8 00:39 copied by amok.txt
-rwxrw-rw- 1 nobody nogroup    0 Feb  8 00:53 copied by XPMUser.txt
-rwxrw-r-- 1 amok   amok       0 Feb  9 09:43 created by amok.txt
-rwxrw-rw- 1 nobody nogroup    0 Feb  9 09:44 created by XPMUser.txt

smb.conf:

[global]                                                                                                  
        workgroup = MY-HOME                                                                               
        server string = %h server (Samba, Ubuntu)                                                         
        dns proxy = no                                                                                    
        log file = /var/log/samba/log.%m                                                                  
        max log size = 1000                                                                               
        panic action = /usr/share/samba/panic-action %d                                                   
        # server role = standalone server                                                                 
        passdb backend = tdbsam                                                                           
        obey pam restrictions = yes                                                                       
        unix password sync = yes                                                                          
        passwd program = /usr/bin/passwd %u                                                               
        passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\
ssuccessfully* .                                                                                          
        pam password change = yes                                                                         
        map to guest = bad user                                                                           
        usershare allow guests = yes  
[home]
        path = /home/conformist
        comment = hopeless
        writeable = yes
        browseable = yes
        public = Yes
        create mask = 0644
        directory mask = 0755
        force user = conformist

Не понял, к чему был ваш комментарий. На всякий случай напомню часть своей задачи: «хочу чтобы всё в шаре было 0777». У вас так?

У меня так, как приведено выше. Со всех машин (win) всё доступно и всё работает (что соответствует требованиям), можно исправить create mask, directory mask на желаемые.

попробуй прямо на сервере из-под юзеров amok и nobody файлы и каталоги посоздавать в твоей шаре. посмотри что без самбы будет.

можно попробовать разрулить на уровне фс при помощи acl.

всё доступно и всё работает

Что вы вкладываете в эти понятия? Ещё раз повторюсь, хочу получить 0777 для всего в шаре, и не получаю.

И помимо просто «работает» мне бы ещё хотелось разобраться «как и почему». Вам удалось?

Вот, например, почему советуете заменить/добавить? опции create mask, directory mask. У меня же есть force create mode, force directory mode — их недостаточно или я их неверно использую под свою задачу?

Из-под amok на Убунте:

$ touch /usr/local/samba_shara/"created by amok on Ubuntu.txt"
$ mkdir /usr/local/samba_shara/"created by amok on Ubuntu"
$ ls -l /usr/local/samba_shara/

drwxrwxr-x 2 amok amok 4096 Feb  9 11:21 created by amok on Ubuntu
-rw-rw-r-- 1 amok amok    0 Feb  9 11:21 created by amok on Ubuntu.txt

Т. е. то, как и должно быть — 0775 для каталога и 0664 для файла — учитывая umask 0002 для amok.

Как из-под nobody что-то создать — не знаю (пробовал "su - nobody" — пароль какой-то требует). Также как и узнать какая у него umask.

Я пока не хочу применять другие методы. Хотелось бы разобраться с этим.

Что вы вкладываете в эти понятия?

Самба шара раздаётся от пользователя, который был определён в конфиге. Владелец шары этот же пользователь. Все создаваемые файлы/каталоги принадлежат этому пользователю и он имеет право делать что хочет:

[ 2. ЗАДАЧА ] Сделать общедоступную шару для win-клиентов с полным беспределом: все могут всё (создавать файлы и каталоги любого уровня вложенности, удалять всё, запускать *.exe).

Хорошо, я понял: у вас всё работает так, как вам нужно. Только вот вы цитируете п. 2 из стартового сообщения и почему-то на нём останавливаетесь. А ведь главный там — п. 4 :)

Очевидно я сконцентрировался на *ЗАДАЧЕ* и моё решение её выполняет вполне с любых клиентов.

Спасибо за информацию.

Теперь буду ждать тех, кто сконцентрируется на ВОПРОСАХ :)

ну, попробуй в секции global прописать obey pam restrictions = no. говорять в убунтах оно yes по дефолту. проверь, короче.

Да, было прописано по умолчанию:

[global]
obey pam restrictions = yes

Заменил на no и, вроде, заработало.

Можешь кратко объяснить взаимосвязь?

так вроде или заработало?

Можешь кратко объяснить взаимосвязь?

самба пускает на каждого юзера по процессу, который, который, внезапно, работает в _системе_ с _правами_ этого юзера. наложи на эту мысль то, что ты знаешь о pam, ну и учти, что obey pam restrictions - это «придерживаться ограничений pam».

«Не придерживаться» же?

https://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/pam.html#id2665709

вот тут вроде чего-то про это есть.

мой гуглопереводчик врет?

А, я с мобильника просмотрел, что ты про сам параметр писал, а не про случай, когда он «no»

Я уже пытался мучить эту официальную доку. Там везде при описании опций конфига стоят ссылки на несуществующий HTML-файл smb.conf.5.html

Придётся юзать man smb.conf.

О PAM я не знаю ничего. Однако вон Wiki подсказывает, что это придумка для авторизации. Поэтому я и не понимаю, как что-то связанное с авторизацией, влияет на права создаваемых файлов?! Раз файл нам уже позволяют создать, значит авторизацию мы так или иначе прошли? Причём в моём случае как таковой авторизации-то и не нужно, ибо разрешён безавторизационный доступ guest (предположу, что авторизация есть всегда, даже когда её формально быть не должно, но это сути дела не меняет).

Погонял ещё тесты, в т. ч. с вложениями: всё пляшет, так что большое спасибо!

Косяк с результирующими правами, отличными от требуемых 0777, возникает из-за того, что из-за этого PAM на права создаваемого файла накладывается какая-то маска?

Pam не только авторизация но и сессии. Погугли linux pam restrictions.

Начал гуглить, но что-то объём информации огромен и неясно с какой стороны подступиться.

Пока пытаюсь осмыслить логически, по-простому.

Очевидно, что включённая опция конфига obey pam restrictions = yes для знакомого Самбе (и Убунте) пользователя amok добавляет ещё одну итерацию где-то, в результате получается, что при неких операциях с файлом/каталогом на заданные в Самбе принудительные права 0777, накладывается маска umask 0002 (которая действительно равна 0002 для пользователя amok в Убунте).

Вопрос в том, почему при создании файла в шаре маска не срабатывает, а при копировании — срабатывает. И то и другое действие осуществляет amok. Получается, что PAM не участвует при создании файла в шаре, но активируется при копировании?

C каталогами ещё непонятнее: тут PAM работает всегда, и при создании в шаре каталога, и при копировании в неё существующего...