URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 93363
[ Назад ]

Исходное сообщение
"samba и неосновные (побочные) группы пользователя"

Отправлено iltmpz , 14-Май-12 17:57 
Есть домен win 2008r2, в нем сервер самба в режиме ADS, пользователи раскиданы по группам.
У каждого unix-юзера основная группа - users и есть еще по нескольку неосновных групп.
Задумка была в том, чтобы по этим группам разграничивать доступ, однако работает это как-то не так:

Конкретно, мой тестовый юзер: tu3
# id tu3
uid=100278(tu3) gid=100(users) группы=100(users),1010(it)

Создал тестовые каталоги внутри шары:
# pwd
/data6
# ls -l a
total 16
drwxrwxrwx 3 root root  4096 May 14 17:41 a
drwxrwxr-x 2 root it    4096 May 14 17:41 b
drwxrwxr-x 3 root users 4096 May 14 17:43 c
drwxrwx--- 2 root users 4096 May 14 17:40 d


Если я делаю "su tu3" и создаю файлы, то они во всех 4 каталогах без проблем создаются.
По моему представлению, файлы через самбу должны тоже создаваться во всех 4 каталогах, однако создаются они только в "a" и "c":
# ls -l a/*
a/a:
total 4
drwxrwxr-x 2 tu3 users 4096 May 14 17:40 test

a/b:
total 0

a/c:
total 4
drwxrwxr-x 2 tu3 users 4096 May 14 17:43 test

a/d:
total 0

При этом в "d" винда вообще не заходит, говорит, что нет прав, хотя для users доступ по группе открыт. В "b" заходит, но создать файл не может.

ps показывает, что владелец процесса корректный:
# ps aux|grep smbd
root      2261  0.0  0.0  77900  1780 ?        Ss   May10   0:01 /usr/sbin/smbd -D
root      2365  0.0  0.0  77876  1368 ?        S    May10   0:00 /usr/sbin/smbd -D
tu3       9010  0.0  0.2  78556  5164 ?        S    16:27   0:02 /usr/sbin/smbd -D

Ну и конфиг самбы:
[global]
        workgroup = DOMAIN
        netbios name = NAME
        realm = DOMAIN.LOCAL
        security = ADS
        password server = *
        ldap ssl = no

        winbind use default domain = Yes
        map untrusted to domain = Yes
        winbind nested groups = Yes
        auth methods = winbind
        printing = cups
        printcap name = cups
        printcap cache time = 750
        cups options = raw
        map to guest = Bad User
        create mask = 0664
        directory mask = 0775
        store dos attributes = Yes

        unix extensions = No
        wide links = Yes
        log level = 6

[data6]
        browseable = Yes
        path = /data6
        read only = No
        inherit acls = Yes

Получается 2 странности:
1. чтобы зайти в каталог, самба использует права от others, хотя для даже для основной группы доступ есть.
2. чтобы записать файл, самба использует права группы, но только основной. А неосновной группы для этого не хватает.
Почему так происходит и можно ли настроить права самбы аналогично su?


Содержание

Сообщения в этом обсуждении
"samba и неосновные (побочные) группы пользователя"
Отправлено ACCA , 15-Май-12 21:12 
> 1. чтобы зайти в каталог, самба использует права от others, хотя для
> даже для основной группы доступ есть.

Ну, не samba, а винда и группы проверяет свои. Самбе нужно сказать, кого во что транслировать: http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/g...


> 2. чтобы записать файл, самба использует права группы, но только основной. А
> неосновной группы для этого не хватает.

Отдай каталог группе. Поставь sticky bit: chmod g+s directory_name

Начиная с 3.5.9 можно использовать force group


> Почему так происходит и можно ли настроить права самбы аналогично su?

Нельзя - семантики не совпадают.


"samba и неосновные (побочные) группы пользователя"
Отправлено ALex_hha , 31-Май-12 00:20 
> Начиная с 3.5.9 можно использовать force group

откуда дровишки?

http://www.samba.org/samba/history/samba-3.5.9.html тут об этом ни слова, а вот на http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.ht... параметр доступен начиная с 2.0.5