Права доступа

[sasha198407]

Здрасти всем. Есть контроллер домена на Win2003server sp1 (далее ad) и файл-сервер на CentOS5.2 (далее fs). На fs есть два диска /vol1 и /vol2 к которым я назначил общий доступ. Авторизация с fs на ad проходит отлично. Подключил к ad два сетевых диска (vol1 на "FS (Fs)"(O:)) и (vol2 на "FS (Fs)"(P:)). На оба могу выходить, в свойствах имеются вкладки "Общие" и "Безопасность". В безопасности имеются пользователь "root", а так же группы "root" и "Все". Проблема в том, что я не могу не удалять, не добавлять пользователей и группы, не изменять права в "безопасности". При нажатии на кнопку "Применить" выпадает окно "Не удалось сохранить изменение разрешений. Отказано в доступе." Что делать?
Свойства дисков с общим доступом на fs:
ls -l /
drwxrwxrwx 3 root root 4096 Nov 10 14:46 vol1
drwxrwxrwx+ 7 10003 root 4096 Nov 3 11:58 vol2

Файл Samb(ы):
# Samba config file created using SWAT
# from 0.0.0.0 (0.0.0.0)
# Date: 2009/11/10 16:31:36

[global]
workgroup = DOMAYN
realm = DOMAYN.LOCAL
server string = FS
security = ADS
auth methods = winbind
password server = 192.168.0.2
log file = /var/log/samba/log.%m
max log size = 50
preferred master = No
local master = No
domain master = No
wins server = 192.168.0.2
admin users = "@DOMAYN\администраторы домена"
ldap ssl = no
idmap uid = 10000-15000
idmap gid = 10000-15000
winbind separator = +
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes

[vol1]
comment = vol1
path = /vol1
admin users = "@DOMAYN\администраторы домена"

[vol2]
comment = vol2
path = /vol2
admin users = "@DOMAYN\администраторы домена"
read only = No
guest ok = Yes
browseable = No

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[sasha198407]

Блин, ну неужеле никто не знает в чём дело?

[Alex_hha]

А в логах самбы что?

[sasha198407]

cat /var/log/samba/smbd.log

[2009/11/10 16:31:40, 0] smbd/server.c:main(944)
smbd version 3.0.33-3.7.el5 started.
Copyright Andrew Tridgell and the Samba Team 1992-2008
[2009/11/10 16:45:11, 0] smbd/server.c:main(944)
smbd version 3.0.33-3.7.el5 started.
Copyright Andrew Tridgell and the Samba Team 1992-2008
[2009/11/10 16:48:13, 0] smbd/server.c:main(944)
smbd version 3.0.33-3.7.el5 started.
Copyright Andrew Tridgell and the Samba Team 1992-2008

cat /var/log/samba/nmbd.log
[2009/11/10 16:31:40, 0] nmbd/nmbd.c:main(724)
Netbios nameserver version 3.0.33-3.7.el5 started.
Copyright Andrew Tridgell and the Samba Team 1992-2008
[2009/11/10 16:45:11, 0] nmbd/nmbd.c:terminate(58)
Got SIGTERM: going down...
[2009/11/10 16:45:11, 0] nmbd/nmbd.c:main(724)
Netbios nameserver version 3.0.33-3.7.el5 started.
Copyright Andrew Tridgell and the Samba Team 1992-2008
[2009/11/10 16:48:13, 0] nmbd/nmbd.c:terminate(58)
Got SIGTERM: going down...
[2009/11/10 16:48:13, 0] nmbd/nmbd.c:main(724)
Netbios nameserver version 3.0.33-3.7.el5 started.
Copyright Andrew Tridgell and the Samba Team 1992-2008
[2009/11/11 04:02:06, 0] nmbd/nmbd.c:process(588)
Got SIGHUP dumping debug info.
[2009/11/11 04:02:06, 0] nmbd/nmbd_workgroupdb.c:dump_workgroups(282)
dump_workgroups()
dump workgroup on subnet 192.168.0.69: netmask= 255.255.255.0:
DOMAYN(1) current master browser = AD
FS 40809b03 (FS)
AD 4084102b ()
[2009/11/11 04:02:06, 0] nmbd/nmbd_workgroupdb.c:dump_workgroups(282)
dump_workgroups()
dump workgroup on subnet UNICAST_SUBNET: netmask= 0.0.0.0:
DOMAYN(1) current master browser = UNKNOWN
FS 40809b03 (FS)

cat /var/log/samba/log.192.168.0.2
[2009/11/11 16:27:40, 1] smbd/fake_file.c:open_fake_file(116)
open_fake_file_shared: access_denied to service[vol1] file[$Extend/$Quota:$Q:$INDEX_ALLOCATION] user[DOMAYN+администратор]
[2009/11/11 16:29:30, 1] smbd/fake_file.c:open_fake_file(116)
open_fake_file_shared: access_denied to service[vol1] file[$Extend/$Quota:$Q:$INDEX_ALLOCATION] user[DOMAYN+администратор]
[2009/11/11 16:29:30, 1] smbd/fake_file.c:open_fake_file(116)
open_fake_file_shared: access_denied to service[vol1] file[$Extend/$Quota:$Q:$INDEX_ALLOCATION] user[DOMAYN+администратор]
[2009/11/11 16:32:04, 1] smbd/fake_file.c:open_fake_file(116)
open_fake_file_shared: access_denied to service[vol1] file[$Extend/$Quota:$Q:$INDEX_ALLOCATION] user[DOMAYN+администратор]
[2009/11/11 16:32:04, 1] smbd/fake_file.c:open_fake_file(116)
open_fake_file_shared: access_denied to service[vol1] file[$Extend/$Quota:$Q:$INDEX_ALLOCATION] user[DOMAYN+администратор]

cat /var/log/samba/winbindd.log

[2009/11/10 09:57:49, 1] nsswitch/winbindd.c:main(1013)
winbindd version 3.0.33-3.7.el5 started.
Copyright Andrew Tridgell and the Samba Team 1992-2008
[2009/11/10 09:57:49, 1] param/loadparm.c:service_ok(3038)
NOTE: Service vol1 is flagged unavailable.
[2009/11/10 10:36:03, 1] nsswitch/winbindd.c:main(1013)
winbindd version 3.0.33-3.7.el5 started.
Copyright Andrew Tridgell and the Samba Team 1992-2008
[2009/11/10 10:50:52, 1] nsswitch/winbindd.c:main(1013)
winbindd version 3.0.33-3.7.el5 started.
Copyright Andrew Tridgell and the Samba Team 1992-2008
[2009/11/10 10:55:44, 1] nsswitch/winbindd.c:main(1013)
winbindd version 3.0.33-3.7.el5 started.
Copyright Andrew Tridgell and the Samba Team 1992-2008
[2009/11/10 13:17:13, 1] nsswitch/winbindd.c:main(1013)
winbindd version 3.0.33-3.7.el5 started.
Copyright Andrew Tridgell and the Samba Team 1992-2008
[2009/11/10 14:35:19, 1] nsswitch/winbindd.c:main(1013)
winbindd version 3.0.33-3.7.el5 started.
Copyright Andrew Tridgell and the Samba Team 1992-2008
[2009/11/10 15:29:32, 1] nsswitch/winbindd.c:main(1013)
winbindd version 3.0.33-3.7.el5 started.
Copyright Andrew Tridgell and the Samba Team 1992-2008
[2009/11/10 16:31:40, 1] nsswitch/winbindd.c:main(1013)
winbindd version 3.0.33-3.7.el5 started.
Copyright Andrew Tridgell and the Samba Team 1992-2008

[_Andy]

файл krb5.conf покажите.
Если контроллеров доменов несколько, то лучше установить:

Код: Выделить всё

password server = *

If the security parameter is set to domain or ads, then the list of
machines in this option must be a list of Primary or Backup Domain
controllers for the Domain or the character '*', as the Samba
server is effectively in that domain, and will use
cryptographically authenticated RPC calls to authenticate the user
logging on. The advantage of using
security = domain is that if you list several hosts in the
password server option then smbd will try each in turn till it
finds one that responds. This is useful in case your primary server
goes down.

If the password server option is set to the character '*', then
Samba will attempt to auto-locate the Primary or Backup Domain
controllers to authenticate against by doing a query for the name
WORKGROUP<1C> and then contacting each server returned in the list
of IP addresses from the name resolution source.

Вывод

Код: Выделить всё

wbinfo -g

приведите, пожалуйста.

[sasha198407]

krb.conf

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = DOMAYN.LOCAL
dns_lookup_kdc = false

[realms]
DOMAYN.LOCAL = {
default_domain = DOMAYN.LOCAL
kdc = ad.domayn.local : 88
admin_server = ad.domayn.local : 749
}

[domain_realm]
.domayn.local = DOMAYN.LOCAL
DOMAYN.LOCAL = DOMAYN.LOCAL

[login]
krb4_convert = true
krb4_get_tickets = false

wbinfo -g

BUILTIN+administrators
BUILTIN+users
компьютеры домена
контроллеры домена
администраторы схемы
администраторы предприятия
администраторы домена
пользователи домена
гости домена
владельцы-создатели групповой политики
dnsupdateproxy
aup
buhgalterya
onir
pdo
snabgenie
teh_otdel
aimpp
nicik
fhma
hma
nicck
fma

[sasha198407]

Господа данную проблему я всё-таки решил, но попутно возник другой вопрос. Захожу я на какой-либо из этих двух сетевых дисков с клиентской машины под управлением Windows и создаю файл или папку(это радует) . Но когда я удаляю данные с этих шар, они удаляются не в корзину, а насовсем, т.е. восстановить их нельзя, а так же если клиент открывает файл в режиме чтения, то другой клиент так же открывает этот файл в режиме чтения . Это поправимо или нет?

[_Andy]

Проблема в том, что я не могу не удалять, не добавлять пользователей и группы, не изменять права в "безопасности". При нажатии на кнопку "Применить" выпадает окно "Не удалось сохранить изменение разрешений. Отказано в доступе." Что делать?

А кто это Вы? Вы это запись администратора домена, или пользовательская учетная запись?

[sasha198407]

администратор домена

[Burner]

Но когда я удаляю данные с этих шар, они удаляются не в корзину, а насовсем, т.е. восстановить их нельзя

где-то на сайте была статья, как сделать корзину на файловой шаре, поищи

[Zhan]

Всем привет. Не стал создавать отдельную тему так как проблема с мапингом юзеров и груп из АД.
Есть Samba-3.6.1 на CentOS 6 x86_64
версия 3.6.1 выбрана в связи с реализацией протокола SMB2

В общем самбу настроил и ввел в домен, все работает: wbinfo отрабатывает все тесты, но в связи с устареванием опций idmap uid и udmap gid у меня не мапятся юзеры
В release notes к samba-3.6 сказано:

Признаны устаревшими параметры конфигурации "idmap uid", "idmap gid" и "idmap range", вместо них следует использовать "idmap config * : range" и "idmap config * : backend";

вроде вписал нужные строки но:

Код: Выделить всё

[root@smb ~]# id PGM\\administrator
id: PGM\administrator: Такого пользователя нет
[root@smb ~]#

smb.conf:

Код: Выделить всё

[global]
<------>workgroup = PGM
<------>interfaces = eth0
<------>bind interfaces only = true
<------>load printers = no
<------>realm = PGM.KZ
<------>server string = Samba Server Version %v
<------>security = ADS
<------>auth methods = winbind
;<----->password server = DC.PGM.KZ (в новой версии нельзя использовать данную опцию вместе с security = ADS)
<------>log file = /var/log/samba/%m.log
<------>max log size = 50
<------>os level = 33
<------>preferred master = No
<------>local master = No
<------>domain master = No
<------>ldap ssl = no
<------>idmap config PGM:backend = ad
<------>idmap config PGM:range = 10000-20000
<------>idmap config PGM:readonly = yes
<------>winbind enum users = Yes
<------>winbind enum groups = Yes
<------>winbind use default domain = Yes
<------>inherit acls = Yes
<------>hosts allow = 127., 192.168.0., 192.168.1., 10.168.0.....
<------>dos charset = CP1251.
<------>max protocol = SMB2