FileServer Samba 3 под FreeBSD 6.2 Проблема с доступом шары

[Daemon]

Здравствуйте юзеры, админы, Суперадмины и д.р. пользователи никсов!
Хочу соорудить файл-сервер на FreeBSD 6.2 и Samba 3 c авторизацией в домене Windows Server 2003 что бы можно было на папках доступом из винды рулить.
Поставил FreeBSD 6.2 Samba 3, Фрюшку зарегестрировал в домене - тут все Ок. Дальше хуже, захожу на файл-сервер с виндовой машины, вижу свою шару (только одну даже если их 10 сделать) создаю папку, в свойствах папки в закладке безопасность хочу добавить пользователя из win, добавляю, назначаю права, нажимаю применить и этот пользователь пропадает из списка. Вот конф smb.conf:

[global]
dos charset = CP866
unix charset = KOI8-R
display charset = KOI8-R
workgroup = MYDOMAIN
realm = MYDOMAIN.LOCAL
server string = File Server Samba
security = ads
auth methods = winbind
map to guest = Bad User
password server = pdc.mydomain.local
passdb backend = tdbsam
client NTLMv2 auth = Yes
client lanman auth = No
client plaintext auth = No
log file = /var/log/samba/log.%m
max log size = 50
# client signing = Yes
# preferred master = No
# local master = No
ldap ssl = no
# idmap uid = 10000-20000
idmap gid = 10000-20000
winbind use default domain = Yes
acl group control = Yes
hosts allow = 192.168.0. 127.

[homes]
comment = Home Directories
read only = No
browseable = No

[share]
comment = ETC
path = /share
read only = No
guest ok = Yes
# hosts allow =
# browseable = No

помогите пожалуйста разобраться!
если нужны еще конфиги или логи выложу

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[s.romanov]

man acl

последние абзацы
http://www.lissyara.su/?id=1180

[abanamat]

однако не смешно. я лично бьюсь с пятницы. эффекты наблюдаю разнообразные, но не те, что нужно.

[Daemon]

Спасибо s.romanov
всё сделал по указанному выше указанному руководству.
пускает на папки, пароль не спрашивает, но разрешения менять не даёт

[abanamat]

нашол вроде.

у меня в smb.conf

nt acl support = yes
inherit acls = Yes
inherit permissions = Yes
map acl inherit = Yes

admin users = "собакаMYDOMAIN\abanamat"

шары все вида

[misha]
comment = misha
path = /xshare/misha
read only = No
------->
все папочки созданы mkdir папка
------->
теперь логинюсь в виндовую машину, и так как я админ юзер, лезу
в manage этот самбовый компутер, выбираю шару, тыкаю в security и добавляю юзеров с правами.
потом на вкладке шаринга убиваю Everybody и добавляю этих юзеров туда с такими же примерно правами.

И работает. Зараза такая.

[Daemon]

abanamat, а дайка посмотреть что у тебя в smb.conf и что ты с acl делал?

[abanamat]

[global]
dos charset = cp866
unix charset = cp1251
display charset = cp866
workgroup = MYDOMAIN
realm = MYDOMAIN.MC
server string = xsrv
security = ADS
auth methods = winbind
map to guest = Bad User
password server = 192.168.0.8
client NTLMv2 auth = Yes
client lanman auth = No
client plaintext auth = No
log file = /var/log/samba/log.%m
max log size = 50
client signing = Yes
load printers = No
printcap name = /etc/printcap
disable spoolss = Yes
os level = 10
preferred master = No
local master = No
domain master = No
dns proxy = No
winbind uid = 10000-20000
winbind gid = 10000-20000
;winbind separator = +
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes

nt acl support = yes
inherit acls = Yes
inherit permissions = Yes
map acl inherit = Yes

guest ok = Yes
hosts allow = 192.168.0., 192.168.10., 127.
case sensitive = No
;dos filemode = Yes
;debuglevel = 3
admin users = "собакаMYDOMAIN\abanamat"

[printers]
comment = All Printers
path = /var/spool/samba
printable = Yes
use client driver = Yes
browseable = No

[tmp]
comment = Temporary file space
path = /tmp
read only = No
create mask = 0666
directory mask = 0777
browseable = No

[1030]
comment = 1030
path = /xshare/1030
read only = No

------> вот так

[abanamat]

а с acl я что только не делал, пока не поприбивал и не пересоздал обратно все папочки.
ручками задавать не надо - из винды все делать надо.

[Daemon]

Из винды добавляю пользователя , нажимаю применить и пользователь исчезает из списка...

[Гость]

Из винды добавляю пользователя , нажимаю применить и пользователь исчезает из списка...

из списка чего? доавляешь в security или в share?

[Daemon]

В smb.conf есть

[share]
comment = share
path = /share
read only = No
guest ok = Yes
в винде захожу на сервер с ысамбой вижу эту папку share, на неё правой кнопкой,\ свойства\бехопасность, добавить Daemon Ок, применить "Отказано в доступе", если зайти внутрь этой папки, создать новую и попробовать добавить на неё пользователя все Ок, а вот когда нажимаешь применить... этот пользователь просто исчезает

[abanamat]

В smb.conf есть

[share]
comment = share
path = /share
read only = No
guest ok = Yes
в винде захожу на сервер с ысамбой вижу эту папку share, на неё правой кнопкой,\ свойства\бехопасность, добавить Daemon Ок, применить "Отказано в доступе", если зайти внутрь этой папки, создать новую и попробовать добавить на неё пользователя все Ок, а вот когда нажимаешь применить... этот пользователь просто исчезает

а ты себя в admin users нарисовал?

[abanamat]

и кстате я не уверен насчет корневых разделов. у меня шары не в корне.

[Гость]

В smb.conf есть

[share]
comment = share
path = /share
read only = No
guest ok = Yes
в винде захожу на сервер с ысамбой вижу эту папку share, на неё правой кнопкой,\ свойства\бехопасность, добавить Daemon Ок, применить "Отказано в доступе", если зайти внутрь этой папки, создать новую и попробовать добавить на неё пользователя все Ок, а вот когда нажимаешь применить... этот пользователь просто исчезает

а ты себя в admin users нарисовал?

себя нарисовал так как ты писал admin users = "собакаMYDOMAIN\Daemon" (странно как-то)

[Daemon]

и кстате я не уверен насчет корневых разделов. у меня шары не в корне.

[SuperShare]
comment = SuperMegaShare
path = /usr/home/sharka
read only = No
guest ok = Yes

тоже говорит "отказано в доступе"

[Daemon]

А откуда samba знает, что я именно тот Daemon который admin users = "собакаMYDOMAIN\Daemon"?
как samba меня идентифицирует? логин и пароль то она перестала спрашивать...

[Гость]

А откуда samba знает, что я именно тот Daemon который admin users = "собакаMYDOMAIN\Daemon"?
как samba меня идентифицирует? логин и пароль то она перестала спрашивать...

мы же про самбу в домене говорим? Если ты прошел авторизацию в виндовой машине как юзер в домене, то самба ап том узнает у контролера домена.

[abanamat]

поставь в admin users "собакаMYDOMAIN\Domain Admins"

[Daemon]

Если посмотреть "дополнительно"=>"разрешения" я там крут.ю со всеми правами и т.д даже владельца могу менять у папки, а вот в закладке "безопасность"... я вообще не крут , что очень растраивает, упорно говорит "Отказано в доступе" (((((

[Гость]

Если посмотреть "дополнительно"=>"разрешения" я там крут.ю со всеми правами и т.д даже владельца могу менять у папки, а вот в закладке "безопасность"... я вообще не крут , что очень растраивает, упорно говорит "Отказано в доступе" (((((

в безопасности скаопом нельзя юзеров добавлять. сначала одного -> применить, потом остальных

[Daemon]

Если посмотреть "дополнительно"=>"разрешения" я там крут.ю со всеми правами и т.д даже владельца могу менять у папки, а вот в закладке "безопасность"... я вообще не крут , что очень растраивает, упорно говорит "Отказано в доступе" (((((

в безопасности скаопом нельзя юзеров добавлять. сначала одного -> применить, потом остальных

пытаюсь добавить одного пользователя

[Daemon]

Люди помогите! Все перепробовал ничего не помогает (видимо не совсем все ), что еще можно попробовать. getent passwd показывает всех пользователей домена, все вроде ок, а права на папку не могу настроить (
и вот по этим правилам
[homes]
comment = Home Directories
read only = No
browseable = No

говорит "не найдет сетевой путь", он не создаёт папку домашнего каталога

[Daemon]

Тогда д.р. вопрос, как средствами FreeBSD+Samba настроить доступ к папке так, чтобы пользователь мог копировать файл в эту папку, а править его не мог

[abanamat]

creation mode
creation mask

поставить rwx на папку а creation mode (или как там) сделать r--

[Alex Keda]

может я не совсем вкурил,,, но не тут ли надо копат:
man smb.conf

Код: Выделить всё

       force security mode (S)
          This parameter controls what UNIX permission bits  can  be  modified
          when  a  Windows  NT client is manipulating the UNIX permission on a
          file using the native NT security dialog box.

          This parameter is applied as a mask (OR'ed with) to the changed per-
          mission  bits,  thus forcing any bits in this mask that the user may
          have modified to be on. Make sure not to mix up this parameter  with
          security  mask,  which  works similar like this one but uses logical
          AND instead of OR.

          Essentially, one bits in this mask may be treated as a set  of  bits
          that,  when modifying security on a file, the user has always set to
          be on.

          If not set explicitly this parameter is set to 0, and allows a  user
          to  modify  all  the user/group/world permissions on a file, with no
          restrictions.

           Note that users who can access the Samba server through other means
          can  easily  bypass  this restriction, so it is primarily useful for
          standalone "appliance" systems. Administrators of most  normal  sys-
          tems will probably want to leave this set to 0000.

          Default: force security mode = 0

          Example: force security mode = 700