samba+acl (chown+chmod)

[mediamag]

вот в статье у лисяры написано

Код: Выделить всё

# список тех, кому разрешёно ставить те самые галки,
	# ради которых всё затевалось. инттересная особенность, в которую
	# до конца не вкурил - в одинаковых конфигурациях, иногда можно
	# указывать без домена, а иногда домен необходим.
	# [b]Все операции этих пользователей выполняются от рута![/b]
        admin users             = "@MY-DOMAIN\Admin Users", MY-DOMAIN\lissyara

а на самом деле ничего от рута не выполняется. этот параметр я могу спокойно закаментить или раскоментить - юзер не становится админом папки....он становится админом только тогда, когда я в chown chmod выставляю его

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[mediamag]

Выставил

Код: Выделить всё

admin users = HL8\admin

....создал папку на фряхе (локально chown=root wheel так по дефолту создалось) и всё равно не удаётся рулить acl - как только я на шаре выставляю юзера и жму применить, выскакивает ошибка

Код: Выделить всё

не удаётся сохранить изменения - отказано в доступе

. А если chown= HL8\admin, то я спокойно могу рулить acl...

[snorlov]

Выставил

Код: Выделить всё

admin users = HL8\admin

....создал папку на фряхе (локально chown=root wheel так по дефолту создалось) и всё равно не удаётся рулить acl - как только я на шаре выставляю юзера и жму применить, выскакивает ошибка

Код: Выделить всё

не удаётся сохранить изменения - отказано в доступе

. А если chown= HL8\admin, то я спокойно могу рулить acl...

Добавь "Domain admins" через setfacl ...

[Alex Keda]

значит чё-то у вас криво.
у меня эти - могут делать чё хотят, независмо от владельцев

[mediamag]

уже бьюсь вторую неделю.....сейчас собираю самбу 3,3....мои действия и конфиги:
самба не запущена

Код: Выделить всё

kinit admin@HL8.DOM

билет выдан на неделю...далее

Код: Выделить всё

net ads join -U admin

в домен пустило - проверил на домен контроллере - он там есть. Ресаю комп. Далее рисую конфиг самбы, nsswith, krb5.conf, login

smb.conf

Код: Выделить всё

[global]
        workgroup = HL8
        security = ADS
        password server = 10.0.0.4
        realm = HL8.DOM
        netbios name = fs
        server string =
        max log size = 0
        log level = 0
        syslog = 0
        log file = /var/log/samba/%m.%U.log
        max log size = 50000
        auth methods = winbind
        winbind uid = 10000-20000
        winbind gid = 10000-20000
        hosts allow = 10.0.0., 127.
        winbind use default domain = yes
        display charset = koi8-r
        unix charset = koi8-r
        dos charset = 866
        winbind enum users = yes
        winbind enum groups = yes
        winbind separator = +
        encrypt passwords = yes
        socket options = SO_RCVBUF=8192 SO_SNDBUF=8192 TCP_NODELAY
        interfaces = sk0 lo0
        bind interfaces only = yes
        nt acl support = yes
        map acl inherit = yes
        acl check permissions = true
        acl map full control = false
        block size = 4096
        defer sharing violations = false
        admin users = "@HL8\Администраторы домена"
        client ntlmv2 auth = yes
        dns proxy = no
        getwd cache = yes
        hide dot files = yes
        hide special files = yes
        keepalive = 0
        max connections = 200

[HL8]
        comment                 = all users documents
        path                    = /c/HL8
        admin users             = @HL8\admin
        read only               = No
        inherit acls            = yes
        inherit permissions     = yes
        map acl inherit         = yes
        map archive             = no
        map read only           = no
        locking                 = no
        create mask             = 0600
        directory mask          = 0700
        root preexec  = /bin/sh -c '/usr/local/etc/samba/smbscripts/create_user_data_subdir.sh %U'
        force unknown acl user  = yes
        delete readonly         = yes
        full_audit:prefix       = share=%S; id=%U; ip=%I -->
        full_audit:success  = unlink rmdir mkdir write rename write aio_write pwrite
        full_audit:failure  = unlink rmdir mkdir write rename write aio_write pwrite
        full_audit:priority     = INFO

[OBMEN]
        comment                 = OBMEN
        path                    = /c/OBMEN
        admin users             = @HL8\admin
        read only               = No
        inherit acls            = yes
        inherit permissions     = yes
        map acl inherit         = yes
        map archive             = no
        map read only           = no
        locking                 = no
        create mask             = 0660
        directory mask          = 0770
        force unknown acl user  = yes
        delete readonly         = yes
        full_audit:prefix       = share=%S; id=%U; ip=%I -->
        full_audit:success = unlink rmdir mkdir write rename write aio_write pwrite
        full_audit:failure = unlink rmdir mkdir write rename write aio_write pwrite
        full_audit:priority     = INFO

nsswith

Код: Выделить всё

group: files winbind
passwd: files winbind
group_compat: nis
passwd_compat: nis
hosts: files dns
networks: files
shells: files

krb5.conf

Код: Выделить всё

[logging]
 default = FILE:/var/log/kerberos/krb5libs.log
 kdc = FILE:/var/log/kerberos/krb5kdc.log
 admin_server = FILE:/var/log/kerberos/kadmind.log

[libdefaults]
ticket_lifetime = 24000
default_realm = HL8.DOM
dns_lookup_realm = false
dns_lookup_kdc = false
kdc_req_checksum_type = 2
checksum_type = 2
ccache_type = 1
forwardable = true
proxiable = true

[realms]
HL8.DOM = {
 kdc = 10.0.0.4:88
 admin_server = 10.0.0.4:749
 default_domain = hl8.dom
}

[domain_realm]
.hl8.dom = HL8.DOM

[pam]
debug = false

login

Код: Выделить всё

# auth
auth    required        pam_nologin.so  no_warm
auth    sufficient      /usr/local/lib/pam_winbind.so
auth    sufficient      pam_opie.so     no_warm no_fake_prompts
auth    requisite       pam_opieaccess.so       no_warm allow_local
auth    required        pam_unix.so     no_warm try_first_pass

# account
account sufficient      /usr/local/lib/pam_winbind.so
account required        pam_unix.so

# session
session required        pam_permit.so

создаю папки через мс (/c/HL8 и /c/OBMEN). Ресаю комп. На этом всё. Группы по

Код: Выделить всё

wbinfo -g

и юзеры видятся....дальше проблеммы, описаные выше.

[mediamag]

Проблема так и не ушла. Не могу рулить acl тем пользователем, которого назначил в

Код: Выделить всё

admin users

[mediamag]

ура!!! после 3 недель понимания принципа работы - теперь всё работает как надо!!! спасибо всем за наводящие примеры. Проблема оказалась в конфиге...изменил его + добавил корзину и аудит папок, как в статье лиссяры и всё работает просто супер....а винда такого не умеет)))

[Alex Keda]

та всё она умеет
тока реализовано через анальный проход