LINUX.ORG.RU
решено ФорумAdmin

Windows ACL не обновляет доступы на шару от Samba

 , ,


0

1

Доброго всем дня. Я новичок в администрировании Linux, внезапно возжелал проникнуться практическими знаниями. Выбор пал на создание и ввод в существующий виндовый домен файловой шары на centos.

Собственно, проблема в топике. Не могу зайти ни в одну шару. Подозреваю, что это связано с тем, что при выдаче прав группы корректно отображаются в свойствах безопасности винды, вот только чекбоксы все пустые.
Права на шару ls -l /samba:

drwxrwxrwx. 2 pozdnyakovnew пользователи домена 6 авг 4 15:09 admins

Компьютер в домене:

wbinfo -a ***\\pozdnyakovnew%'**************'
plaintext password authentication succeeded
challenge/response password authentication succeeded

id pozdnyakovnew
uid=16777217(pozdnyakovnew) gid=16777216(пользователи домена) группы=16777216(пользователи домена),16777226(доступ к базам другие),16777227(владельцы-создатели групповой политики),16777228(пользователи терминалов),16777229(служба поддержки),16777235(аппарат управления),16777236(юристы),16777237(доступ ко всей шаре),16777218(inet),16777238(su),16777242(администраторы домена),16777243(доступ на vpn),16777244(ито),16777245(доступ в интернет без ограничений),16777246(перенос pst),16777247(ffinet),16777248(администраторы предприятия), etc

Конфиг самбы:
passdb backend = tdbsam

printcap name = /dev/null
load printers = no
show add printer wizard = no
disable spoolss = yes

domain master = no
local master = no
preferred master = no
os level = 1

log level = 3
log file = /var/log/samba/log.%m

[public]
path = /samba/admins
writeable = yes
browsable = yes
guest ok = yes

Компьютер в домене:

из конфига samba - это абсолютно не видно. Или выдай полный конфиг, или он у тебя чисто автономный сервер со своими юзерами.

Atlant ★★★★★ ()
Ответ на: комментарий от Atlant

Извиняюсь, я думал что сообщения с корректной аутентификацией и лога сопоставления учеток достаточно.

Полный конфиг самбы:

[global] #--authconfig--start-line--

# Generated by authconfig on 2020/08/04 08:41:54 # DO NOT EDIT THIS SECTION (delimited by --start-line--/--end-line--) # Any modification may be deleted or altered by authconfig in future

workgroup = NSG
password server = cd.nsg.local
realm = NSG.LOCAL
security = ads
idmap config * : range = 16777216-33554431
template homedir = /home/%U
template shell = /bin/bash
kerberos method = secrets only
winbind use default domain = true
winbind offline logon = false

#--authconfig--end-line--
passdb backend = tdbsam

printcap name = /dev/null
load printers = no
show add printer wizard = no
disable spoolss = yes

domain master = no
local master = no
preferred master = no
os level = 1

log level = 3
log file = /var/log/samba/log.%m

[guests]
path = /samba/guest
writeable = yes
browseable = yes
force user = nobody
guest ok = yes

[public]
path = /samba/admins
writeable = yes
browsable = yes
guest ok = yes
directory mask = 0777

ELatestark ()
Ответ на: комментарий от Atlant

[root@filedrop ~]# sudo -i su - pozdnyakovnew -c /bin/bash
bash: cannot set terminal process group (-1): Неприменимый к данному устройству ioctl
bash: no job control in this shell

[pozdnyakovnew@filedrop ~]$ id; ls /home -la
uid=16777217(pozdnyakovnew) gid=16777216(пользователи домена) группы=16777216(пользователи домена),16777217(головная организация),16777218(inet),16777219(otrsagents),16777220(BUILTIN\administrators),16777221(BUILTIN\users),16777226(доступ к базам другие),16777227(владельцы-создатели групповой политики),16777228(пользователи терминалов),16777229(служба поддержки),16777230(terminal1),16777231(terminal2),16777232(terminal3),16777233(fullinet),16777234(доступ в интернет для экономистов),16777235(аппарат управления),16777236(юристы),16777237(доступ ко всей шаре),16777238(su),16777239(юристы филиалов),16777240(экономисты),16777241(j ито),16777242(администраторы домена),16777243(доступ на vpn),16777244(ито),16777245(доступ в интернет без ограничений),16777246(перенос pst),16777247(ffinet),16777248(администраторы предприятия),16777249(администраторы схемы),16777250(dnsadmins),16777251(пользователи dhcp),16777252(группа с запрещением репликации паролей rodc),16777253(администраторы dhcp) контекст=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
итого 0

drwxr-xr-x. 5 root root 56 авг 6 11:03 .
dr-xr-xr-x. 18 root root 237 авг 4 15:09 ..
drwxrwxrwx. 2 pozdnyakovnew пользователи домена 62 авг 6 11:03 pozdnyakovnew
drwx------. 2 testshare testshare 62 авг 3 16:57 testshare
drwx------. 2 user user 83 авг 3 15:40 user

ELatestark ()
Ответ на: комментарий от Atlant

Добрый день! Спасибо что обратили моё внимание на SELinux, полез в конфиг, а там
SELinux = disabled
При проверке sestatus оказалось, что SELinux=permissive. Впал в ступор на некоторое время. Судя по всему трабл был в синтаксисе, т.к. после изменения «SELinux = disabled» на «SELinux=disabled» шара заработала даже без ребута конфига.

В текущий момент шара работает, буду дальше ковырять права и изучать новое, спасибо вам огромное!

ELatestark ()