Страница 1 из 3
FileServer Samba 3 под FreeBSD 6.2 Проблема с доступом шары
Добавлено: 2007-03-02 11:47:14
Daemon
Здравствуйте юзеры, админы, Суперадмины и д.р. пользователи никсов!
Хочу соорудить файл-сервер на FreeBSD 6.2 и Samba 3 c авторизацией в домене Windows Server 2003 что бы можно было на папках доступом из винды рулить.
Поставил FreeBSD 6.2 Samba 3, Фрюшку зарегестрировал в домене - тут все Ок. Дальше хуже, захожу на файл-сервер с виндовой машины, вижу свою шару (только одну даже если их 10 сделать) создаю папку, в свойствах папки в закладке безопасность хочу добавить пользователя из win, добавляю, назначаю права, нажимаю применить и этот пользователь пропадает из списка. Вот конф smb.conf:
[global]
dos charset = CP866
unix charset = KOI8-R
display charset = KOI8-R
workgroup = MYDOMAIN
realm = MYDOMAIN.LOCAL
server string = File Server Samba
security = ads
auth methods = winbind
map to guest = Bad User
password server = pdc.mydomain.local
passdb backend = tdbsam
client NTLMv2 auth = Yes
client lanman auth = No
client plaintext auth = No
log file = /var/log/samba/log.%m
max log size = 50
# client signing = Yes
# preferred master = No
# local master = No
ldap ssl = no
# idmap uid = 10000-20000
idmap gid = 10000-20000
winbind use default domain = Yes
acl group control = Yes
hosts allow = 192.168.0. 127.
[homes]
comment = Home Directories
read only = No
browseable = No
[share]
comment = ETC
path = /share
read only = No
guest ok = Yes
# hosts allow =
# browseable = No
помогите пожалуйста разобраться!
если нужны еще конфиги или логи выложу
Добавлено: 2007-03-05 9:46:12
s.romanov
Добавлено: 2007-03-05 13:17:02
abanamat
однако не смешно. я лично бьюсь с пятницы. эффекты наблюдаю разнообразные, но не те, что нужно.
Добавлено: 2007-03-05 13:23:03
Daemon
Спасибо s.romanov
всё сделал по указанному выше указанному руководству.
пускает на папки, пароль не спрашивает, но разрешения менять не даёт
Добавлено: 2007-03-05 15:16:43
abanamat
нашол вроде.
у меня в smb.conf
nt acl support = yes
inherit acls = Yes
inherit permissions = Yes
map acl inherit = Yes
admin users = "собакаMYDOMAIN\abanamat"
шары все вида
[misha]
comment = misha
path = /xshare/misha
read only = No
------->
все папочки созданы mkdir папка
------->
теперь логинюсь в виндовую машину, и так как я админ юзер, лезу
в manage этот самбовый компутер, выбираю шару, тыкаю в security и добавляю юзеров с правами.
потом на вкладке шаринга убиваю Everybody и добавляю этих юзеров туда с такими же примерно правами.
И работает. Зараза такая.
Добавлено: 2007-03-05 15:40:56
Daemon
abanamat, а дайка посмотреть что у тебя в smb.conf и что ты с acl делал?
Добавлено: 2007-03-05 15:49:19
abanamat
[global]
dos charset = cp866
unix charset = cp1251
display charset = cp866
workgroup = MYDOMAIN
realm = MYDOMAIN.MC
server string = xsrv
security = ADS
auth methods = winbind
map to guest = Bad User
password server = 192.168.0.8
client NTLMv2 auth = Yes
client lanman auth = No
client plaintext auth = No
log file = /var/log/samba/log.%m
max log size = 50
client signing = Yes
load printers = No
printcap name = /etc/printcap
disable spoolss = Yes
os level = 10
preferred master = No
local master = No
domain master = No
dns proxy = No
winbind uid = 10000-20000
winbind gid = 10000-20000
;winbind separator = +
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
nt acl support = yes
inherit acls = Yes
inherit permissions = Yes
map acl inherit = Yes
guest ok = Yes
hosts allow = 192.168.0., 192.168.10., 127.
case sensitive = No
;dos filemode = Yes
;debuglevel = 3
admin users = "собакаMYDOMAIN\abanamat"
[printers]
comment = All Printers
path = /var/spool/samba
printable = Yes
use client driver = Yes
browseable = No
[tmp]
comment = Temporary file space
path = /tmp
read only = No
create mask = 0666
directory mask = 0777
browseable = No
[1030]
comment = 1030
path = /xshare/1030
read only = No
------> вот так
Добавлено: 2007-03-05 15:51:09
abanamat
а с acl я что только не делал, пока не поприбивал и не пересоздал обратно все папочки.
ручками задавать не надо - из винды все делать надо.
Добавлено: 2007-03-05 15:52:46
Daemon
Из винды добавляю пользователя , нажимаю применить и пользователь исчезает из списка...
Добавлено: 2007-03-05 15:53:59
Гость
Daemon писал(а):Из винды добавляю пользователя , нажимаю применить и пользователь исчезает из списка...
из списка чего? доавляешь в security или в share?
Добавлено: 2007-03-05 16:22:02
Daemon
В smb.conf есть
[share]
comment = share
path = /share
read only = No
guest ok = Yes
в винде захожу на сервер с ысамбой вижу эту папку share, на неё правой кнопкой,\ свойства\бехопасность, добавить Daemon Ок, применить "Отказано в доступе", если зайти внутрь этой папки, создать новую и попробовать добавить на неё пользователя все Ок, а вот когда нажимаешь применить... этот пользователь просто исчезает
Добавлено: 2007-03-05 16:27:52
abanamat
Daemon писал(а):В smb.conf есть
[share]
comment = share
path = /share
read only = No
guest ok = Yes
в винде захожу на сервер с ысамбой вижу эту папку share, на неё правой кнопкой,\ свойства\бехопасность, добавить Daemon Ок, применить "Отказано в доступе", если зайти внутрь этой папки, создать новую и попробовать добавить на неё пользователя все Ок, а вот когда нажимаешь применить... этот пользователь просто исчезает
а ты себя в admin users нарисовал?
Добавлено: 2007-03-05 16:29:01
abanamat
и кстате я не уверен насчет корневых разделов. у меня шары не в корне.
Добавлено: 2007-03-05 16:42:39
Гость
abanamat писал(а):Daemon писал(а):В smb.conf есть
[share]
comment = share
path = /share
read only = No
guest ok = Yes
в винде захожу на сервер с ысамбой вижу эту папку share, на неё правой кнопкой,\ свойства\бехопасность, добавить Daemon Ок, применить "Отказано в доступе", если зайти внутрь этой папки, создать новую и попробовать добавить на неё пользователя все Ок, а вот когда нажимаешь применить... этот пользователь просто исчезает
а ты себя в admin users нарисовал?
себя нарисовал так как ты писал admin users = "собакаMYDOMAIN\Daemon" (странно как-то)
Добавлено: 2007-03-05 16:56:20
Daemon
abanamat писал(а):и кстате я не уверен насчет корневых разделов. у меня шары не в корне.
[SuperShare]
comment = SuperMegaShare
path = /usr/home/sharka
read only = No
guest ok = Yes
тоже говорит "отказано в доступе"
Добавлено: 2007-03-05 17:08:38
Daemon
А откуда samba знает, что я именно тот Daemon который admin users = "собакаMYDOMAIN\Daemon"?
как samba меня идентифицирует? логин и пароль то она перестала спрашивать...
Добавлено: 2007-03-05 17:19:06
Гость
Daemon писал(а):А откуда samba знает, что я именно тот Daemon который admin users = "собакаMYDOMAIN\Daemon"?
как samba меня идентифицирует? логин и пароль то она перестала спрашивать...
мы же про самбу в домене говорим? Если ты прошел авторизацию в виндовой машине как юзер в домене, то самба ап том узнает у контролера домена.
Добавлено: 2007-03-05 17:34:15
abanamat
поставь в admin users "собакаMYDOMAIN\Domain Admins"
Добавлено: 2007-03-05 17:59:00
Daemon
Если посмотреть "дополнительно"=>"разрешения" я там крут.ю со всеми правами и т.д даже владельца могу менять у папки, а вот в закладке "безопасность"... я вообще не крут
, что очень растраивает, упорно говорит "Отказано в доступе"
(((((
Добавлено: 2007-03-05 18:09:06
Гость
Daemon писал(а):Если посмотреть "дополнительно"=>"разрешения" я там крут.ю со всеми правами и т.д даже владельца могу менять у папки, а вот в закладке "безопасность"... я вообще не крут
, что очень растраивает, упорно говорит "Отказано в доступе"
(((((
в безопасности скаопом нельзя юзеров добавлять. сначала одного -> применить, потом остальных
Добавлено: 2007-03-06 9:21:56
Daemon
Anonymous писал(а):Daemon писал(а):Если посмотреть "дополнительно"=>"разрешения" я там крут.ю со всеми правами и т.д даже владельца могу менять у папки, а вот в закладке "безопасность"... я вообще не крут
, что очень растраивает, упорно говорит "Отказано в доступе"
(((((
в безопасности скаопом нельзя юзеров добавлять. сначала одного -> применить, потом остальных
пытаюсь добавить одного пользователя
Добавлено: 2007-03-06 10:14:56
Daemon
Люди помогите! Все перепробовал ничего не помогает (видимо не совсем все
), что еще можно попробовать. getent passwd показывает всех пользователей домена, все вроде ок, а права на папку не могу настроить
(
и вот по этим правилам
[homes]
comment = Home Directories
read only = No
browseable = No
говорит "не найдет сетевой путь", он не создаёт папку домашнего каталога
Добавлено: 2007-03-13 17:50:30
Daemon
Тогда д.р. вопрос, как средствами FreeBSD+Samba настроить доступ к папке так, чтобы пользователь мог копировать файл в эту папку, а править его не мог
Добавлено: 2007-03-13 18:04:37
abanamat
creation mode
creation mask
поставить rwx на папку а creation mode (или как там) сделать r--
Добавлено: 2007-03-13 22:25:05
Alex Keda
может я не совсем вкурил,,, но не тут ли надо копат:
man smb.conf
Код: Выделить всё
force security mode (S)
This parameter controls what UNIX permission bits can be modified
when a Windows NT client is manipulating the UNIX permission on a
file using the native NT security dialog box.
This parameter is applied as a mask (OR'ed with) to the changed per-
mission bits, thus forcing any bits in this mask that the user may
have modified to be on. Make sure not to mix up this parameter with
security mask, which works similar like this one but uses logical
AND instead of OR.
Essentially, one bits in this mask may be treated as a set of bits
that, when modifying security on a file, the user has always set to
be on.
If not set explicitly this parameter is set to 0, and allows a user
to modify all the user/group/world permissions on a file, with no
restrictions.
Note that users who can access the Samba server through other means
can easily bypass this restriction, so it is primarily useful for
standalone "appliance" systems. Administrators of most normal sys-
tems will probably want to leave this set to 0000.
Default: force security mode = 0
Example: force security mode = 700