LINUX.ORG.RU

В сотый раз о samba, AD и правах

 ,


0

1

То ли я дурак, то ли лыжи всеж не едут.
samba4, ext4 смонтирована с user_xattr и acl
в [global] опции:

vfs objects = acl_xattr
map acl inherit = Yes
acl compatibility = auto
store dos attributes = Yes
в шаре по делу:
write list = @«%D\work users»
admin users = @«%D\domain admins»
read only = no
create mask = 0666
directory mask = 0777
printable = no
locking = no
winbind все видит, getent отрабатывает. Папка с шарой под владением admin:администраторы\040домена. Права из винды назначаются, но ни черта не работают по группам.
Даю доступ пользователям домена на чтение, группе work users на запись. Юзер из группы work users может только читать.
Даю доступ индивидуально юзеру на запись, он получает возможность писать. Задаю в домене work users как его основную группу, удаляю индивида из списка доступа - никакого продуктивного результата, опять только читает. У всех так, или мне повезло?

[global]
load printers = no
show add printer wizard = no
printcap name = /dev/null
disable spoolss = yes


workgroup = DOMAIN
password server = pdc.domain.ru
netbios name = filesrv
#server string = Samba Server Version %v
security = ads
realm = DOMAIN.RU
domain master = no
local master = no
preferred master = no
#socket options = TCP_NODELAY IPTOS_LOWDELAY SO_RCVBUF=131072 SO_SNDBUF=131072
use sendfile = true

idmap config *:backend = tdb
idmap config *:range = 10000-20000
idmap config DOMAIN:backend = rid
idmap config DOMAIN:range = 100000-199000

template shell = /sbin/nologin

winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
winbind nested groups = yes
winbind refresh tickets = yes

client use spnego = yes
client ntlmv2 auth = yes
encrypt passwords = yes
restrict anonymous = 2

log file = /var/log/samba/log.%m
max log size = 50
#log level = 3

vfs objects = acl_xattr
map acl inherit = Yes
acl compatibility = auto
store dos attributes = Yes

[Work]
        path = /data2/work
        write list = @«%D\work users»
        admin users = @«%D\domain admins»
        read only = no
        create mask = 0666
        directory mask = 0777
        printable = no
        locking = no
        hide files = .snap

        vfs objects = recycle crossrename full_audit
        crossrename:sizelimit = 268435456
        recycle:repository = /data1/recycle/work
        recycle:keeptree = yes
        recycle:versions = yes
        recycle:exclude = *.tmp | *.TMP | ~$* | ~WRL* | *.dwl | *.dwl2 | *.bak
        recycle:maxsize = 268435456
        recycle:directory_mode = 0777
        full_audit:facility=LOCAL5
        full_audit:priority=NOTICE
        full_audit:failure = mkdir rmdir write unlink rename
        full_audit:success = mkdir rmdir write pwrite unlink rename
        full_audit:prefix = work|%U

        log level = 0 vfs:2

Нашел косяк, getent group вываливает только группы, без пользователей в них

work users:x:10009:

mrPresedent ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.