FileServer Samba 3 под FreeBSD 6.2 Проблема с доступом шары

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Daemon
проходил мимо

FileServer Samba 3 под FreeBSD 6.2 Проблема с доступом шары

Непрочитанное сообщение Daemon » 2007-03-02 11:47:14

Здравствуйте юзеры, админы, Суперадмины и д.р. пользователи никсов!
Хочу соорудить файл-сервер на FreeBSD 6.2 и Samba 3 c авторизацией в домене Windows Server 2003 что бы можно было на папках доступом из винды рулить.
Поставил FreeBSD 6.2 Samba 3, Фрюшку зарегестрировал в домене - тут все Ок. Дальше хуже, захожу на файл-сервер с виндовой машины, вижу свою шару (только одну даже если их 10 сделать) создаю папку, в свойствах папки в закладке безопасность хочу добавить пользователя из win, добавляю, назначаю права, нажимаю применить и этот пользователь пропадает из списка. Вот конф smb.conf:

[global]
dos charset = CP866
unix charset = KOI8-R
display charset = KOI8-R
workgroup = MYDOMAIN
realm = MYDOMAIN.LOCAL
server string = File Server Samba
security = ads
auth methods = winbind
map to guest = Bad User
password server = pdc.mydomain.local
passdb backend = tdbsam
client NTLMv2 auth = Yes
client lanman auth = No
client plaintext auth = No
log file = /var/log/samba/log.%m
max log size = 50
# client signing = Yes
# preferred master = No
# local master = No
ldap ssl = no
# idmap uid = 10000-20000
idmap gid = 10000-20000
winbind use default domain = Yes
acl group control = Yes
hosts allow = 192.168.0. 127.

[homes]
comment = Home Directories
read only = No
browseable = No

[share]
comment = ETC
path = /share
read only = No
guest ok = Yes
# hosts allow =
# browseable = No

помогите пожалуйста разобраться!
если нужны еще конфиги или логи выложу

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

s.romanov
мл. сержант
Сообщения: 72
Зарегистрирован: 2006-12-12 14:13:23
Откуда: Тольятти

Непрочитанное сообщение s.romanov » 2007-03-05 9:46:12

man acl

последние абзацы
http://www.lissyara.su/?id=1180

abanamat
проходил мимо

Непрочитанное сообщение abanamat » 2007-03-05 13:17:02

однако не смешно. я лично бьюсь с пятницы. эффекты наблюдаю разнообразные, но не те, что нужно.

Daemon
проходил мимо

Непрочитанное сообщение Daemon » 2007-03-05 13:23:03

Спасибо s.romanov
всё сделал по указанному выше указанному руководству.
пускает на папки, пароль не спрашивает, но разрешения менять не даёт :(

abanamat
проходил мимо

Непрочитанное сообщение abanamat » 2007-03-05 15:16:43

нашол вроде.

у меня в smb.conf

nt acl support = yes
inherit acls = Yes
inherit permissions = Yes
map acl inherit = Yes

admin users = "собакаMYDOMAIN\abanamat"

шары все вида

[misha]
comment = misha
path = /xshare/misha
read only = No
------->
все папочки созданы mkdir папка
------->
теперь логинюсь в виндовую машину, и так как я админ юзер, лезу
в manage этот самбовый компутер, выбираю шару, тыкаю в security и добавляю юзеров с правами.
потом на вкладке шаринга убиваю Everybody и добавляю этих юзеров туда с такими же примерно правами.

И работает. Зараза такая.

Daemon
проходил мимо

Непрочитанное сообщение Daemon » 2007-03-05 15:40:56

abanamat, а дайка посмотреть что у тебя в smb.conf и что ты с acl делал?

abanamat
проходил мимо

Непрочитанное сообщение abanamat » 2007-03-05 15:49:19

[global]
dos charset = cp866
unix charset = cp1251
display charset = cp866
workgroup = MYDOMAIN
realm = MYDOMAIN.MC
server string = xsrv
security = ADS
auth methods = winbind
map to guest = Bad User
password server = 192.168.0.8
client NTLMv2 auth = Yes
client lanman auth = No
client plaintext auth = No
log file = /var/log/samba/log.%m
max log size = 50
client signing = Yes
load printers = No
printcap name = /etc/printcap
disable spoolss = Yes
os level = 10
preferred master = No
local master = No
domain master = No
dns proxy = No
winbind uid = 10000-20000
winbind gid = 10000-20000
;winbind separator = +
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes

nt acl support = yes
inherit acls = Yes
inherit permissions = Yes
map acl inherit = Yes

guest ok = Yes
hosts allow = 192.168.0., 192.168.10., 127.
case sensitive = No
;dos filemode = Yes
;debuglevel = 3
admin users = "собакаMYDOMAIN\abanamat"

[printers]
comment = All Printers
path = /var/spool/samba
printable = Yes
use client driver = Yes
browseable = No

[tmp]
comment = Temporary file space
path = /tmp
read only = No
create mask = 0666
directory mask = 0777
browseable = No

[1030]
comment = 1030
path = /xshare/1030
read only = No

------> вот так

abanamat
проходил мимо

Непрочитанное сообщение abanamat » 2007-03-05 15:51:09

а с acl я что только не делал, пока не поприбивал и не пересоздал обратно все папочки.
ручками задавать не надо - из винды все делать надо.

Daemon
проходил мимо

Непрочитанное сообщение Daemon » 2007-03-05 15:52:46

Из винды добавляю пользователя , нажимаю применить и пользователь исчезает из списка... :(

Гость
проходил мимо

Непрочитанное сообщение Гость » 2007-03-05 15:53:59

Daemon писал(а):Из винды добавляю пользователя , нажимаю применить и пользователь исчезает из списка... :(
из списка чего? доавляешь в security или в share?

Daemon
проходил мимо

Непрочитанное сообщение Daemon » 2007-03-05 16:22:02

В smb.conf есть

[share]
comment = share
path = /share
read only = No
guest ok = Yes
в винде захожу на сервер с ысамбой вижу эту папку share, на неё правой кнопкой,\ свойства\бехопасность, добавить Daemon Ок, применить "Отказано в доступе", если зайти внутрь этой папки, создать новую и попробовать добавить на неё пользователя все Ок, а вот когда нажимаешь применить... этот пользователь просто исчезает :(

abanamat
проходил мимо

Непрочитанное сообщение abanamat » 2007-03-05 16:27:52

Daemon писал(а):В smb.conf есть

[share]
comment = share
path = /share
read only = No
guest ok = Yes
в винде захожу на сервер с ысамбой вижу эту папку share, на неё правой кнопкой,\ свойства\бехопасность, добавить Daemon Ок, применить "Отказано в доступе", если зайти внутрь этой папки, создать новую и попробовать добавить на неё пользователя все Ок, а вот когда нажимаешь применить... этот пользователь просто исчезает :(
а ты себя в admin users нарисовал?

abanamat
проходил мимо

Непрочитанное сообщение abanamat » 2007-03-05 16:29:01

и кстате я не уверен насчет корневых разделов. у меня шары не в корне.

Гость
проходил мимо

Непрочитанное сообщение Гость » 2007-03-05 16:42:39

abanamat писал(а):
Daemon писал(а):В smb.conf есть

[share]
comment = share
path = /share
read only = No
guest ok = Yes
в винде захожу на сервер с ысамбой вижу эту папку share, на неё правой кнопкой,\ свойства\бехопасность, добавить Daemon Ок, применить "Отказано в доступе", если зайти внутрь этой папки, создать новую и попробовать добавить на неё пользователя все Ок, а вот когда нажимаешь применить... этот пользователь просто исчезает :(
а ты себя в admin users нарисовал?
себя нарисовал так как ты писал admin users = "собакаMYDOMAIN\Daemon" (странно как-то)

Daemon
проходил мимо

Непрочитанное сообщение Daemon » 2007-03-05 16:56:20

abanamat писал(а):и кстате я не уверен насчет корневых разделов. у меня шары не в корне.

[SuperShare]
comment = SuperMegaShare
path = /usr/home/sharka
read only = No
guest ok = Yes

тоже говорит "отказано в доступе" :(

Daemon
проходил мимо

Непрочитанное сообщение Daemon » 2007-03-05 17:08:38

А откуда samba знает, что я именно тот Daemon который admin users = "собакаMYDOMAIN\Daemon"?
как samba меня идентифицирует? логин и пароль то она перестала спрашивать...

Гость
проходил мимо

Непрочитанное сообщение Гость » 2007-03-05 17:19:06

Daemon писал(а):А откуда samba знает, что я именно тот Daemon который admin users = "собакаMYDOMAIN\Daemon"?
как samba меня идентифицирует? логин и пароль то она перестала спрашивать...
мы же про самбу в домене говорим? Если ты прошел авторизацию в виндовой машине как юзер в домене, то самба ап том узнает у контролера домена.

abanamat
проходил мимо

Непрочитанное сообщение abanamat » 2007-03-05 17:34:15

поставь в admin users "собакаMYDOMAIN\Domain Admins"

Daemon
проходил мимо

Непрочитанное сообщение Daemon » 2007-03-05 17:59:00

Если посмотреть "дополнительно"=>"разрешения" я там крут.ю со всеми правами и т.д даже владельца могу менять у папки, а вот в закладке "безопасность"... я вообще не крут :(, что очень растраивает, упорно говорит "Отказано в доступе" :((((((

Гость
проходил мимо

Непрочитанное сообщение Гость » 2007-03-05 18:09:06

Daemon писал(а):Если посмотреть "дополнительно"=>"разрешения" я там крут.ю со всеми правами и т.д даже владельца могу менять у папки, а вот в закладке "безопасность"... я вообще не крут :(, что очень растраивает, упорно говорит "Отказано в доступе" :((((((
в безопасности скаопом нельзя юзеров добавлять. сначала одного -> применить, потом остальных

Daemon
проходил мимо

Непрочитанное сообщение Daemon » 2007-03-06 9:21:56

Anonymous писал(а):
Daemon писал(а):Если посмотреть "дополнительно"=>"разрешения" я там крут.ю со всеми правами и т.д даже владельца могу менять у папки, а вот в закладке "безопасность"... я вообще не крут :(, что очень растраивает, упорно говорит "Отказано в доступе" :((((((
в безопасности скаопом нельзя юзеров добавлять. сначала одного -> применить, потом остальных
пытаюсь добавить одного пользователя

Daemon
проходил мимо

Непрочитанное сообщение Daemon » 2007-03-06 10:14:56

Люди помогите! Все перепробовал ничего не помогает (видимо не совсем все :( ), что еще можно попробовать. getent passwd показывает всех пользователей домена, все вроде ок, а права на папку не могу настроить :((
и вот по этим правилам
[homes]
comment = Home Directories
read only = No
browseable = No

говорит "не найдет сетевой путь", он не создаёт папку домашнего каталога

Daemon
проходил мимо

Непрочитанное сообщение Daemon » 2007-03-13 17:50:30

Тогда д.р. вопрос, как средствами FreeBSD+Samba настроить доступ к папке так, чтобы пользователь мог копировать файл в эту папку, а править его не мог

abanamat
проходил мимо

Непрочитанное сообщение abanamat » 2007-03-13 18:04:37

creation mode
creation mask

поставить rwx на папку а creation mode (или как там) сделать r--

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-03-13 22:25:05

может я не совсем вкурил,,, но не тут ли надо копат:
man smb.conf

Код: Выделить всё

       force security mode (S)
          This parameter controls what UNIX permission bits  can  be  modified
          when  a  Windows  NT client is manipulating the UNIX permission on a
          file using the native NT security dialog box.

          This parameter is applied as a mask (OR'ed with) to the changed per-
          mission  bits,  thus forcing any bits in this mask that the user may
          have modified to be on. Make sure not to mix up this parameter  with
          security  mask,  which  works similar like this one but uses logical
          AND instead of OR.

          Essentially, one bits in this mask may be treated as a set  of  bits
          that,  when modifying security on a file, the user has always set to
          be on.

          If not set explicitly this parameter is set to 0, and allows a  user
          to  modify  all  the user/group/world permissions on a file, with no
          restrictions.

           Note that users who can access the Samba server through other means
          can  easily  bypass  this restriction, so it is primarily useful for
          standalone "appliance" systems. Administrators of most  normal  sys-
          tems will probably want to leave this set to 0000.

          Default: force security mode = 0

          Example: force security mode = 700
Убей их всех! Бог потом рассортирует...