URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 2216
[ Назад ]

Исходное сообщение
"Samba и NT ACL в домене Windows 2003"

Отправлено visaversa , 26-Окт-09 16:00 
Доброго времени суток!
Есть задача поднять файл-сервер на FreeBSD чтоб был сетевой ресурс в домене и чтоб с Windows машин можно было назначать права доступа для отдельных доменных групп.
Делал по примерам как тут
http://www.samba.org.ua/articles/?section=1&articleid=109
и тут
http://www.lissyara.su/?id=1180

Керберос билеты получены, Ввести в домен получилось, wbinfo -g и wbinfo -u показывают список доменных групп и пользователей, сетевые ресурсы созданы, даже права назначаются, но получается что те юзвери которые не имеют прав на даже чтение в соотвествии с ACL, могут читать и удалять файлы\каталоги. :(

Фряха 7.2, Самба  3.33
Вот конфиг

[global]

dos charset = 866
unix charset = KOI8-R
workgroup = CDS
realm = CDS.CAN
server string = Samba %v on FreeBSD
netbios name = BSD2
security = ADS
auth methods = winbind
map to guest = bad user
client NTLMv2 auth = yes
encrypt passwords = yes

log file = /var/log/samba/samba.log
max log size = 100
client signing = yes
disable spoolss =yes
local master = no
domain master = no
preferred master = no
time server = no
dns proxy = no
idmap uid =  10000-20000
idmap gid =  10000-20000
inherit acls = yes
map acl inherit = yes
case sensitive = no
nt acl support = yes
os level = 10
socket options = TCP_NODELAY
password server = 192.168.72.99
load printers = no
guest ok = yes

winbind use default domain = yes
name resolve order = host bcast

[testwr]
comment = Writable directory for all
path = /tmp
read only = no
create mask = 0666
create mode = 666
directory mode = 666
directory mask = 0777
guest ok = yes
### Тут все юзвери имеют права на создание-редактирование-удаление, так и надо.

[share1]
comment = Hidden catalog. Everyone can create their catalogs and grant permissions for them
path = /share1
read only = No
guest ok = Yes
hosts allow =
browseable = No
###  Тут создаем ACL, но несмотря на него, получается что любой юзер может заходить,
### создавать и удалять каталоги и файлы
###даже если в ACL явно прописано запрещение этому доменному юзеру :(

[Shara]
comment = Open for everyone
path = /usr/shara
read only = No
guest ok = Yes
hosts allow =
read list = "@CDS\Domain Users"
write list = "@CDS\Domain Admins"
### Тут я пробовал сделать чтоб только domain users могли изменять содержимое, а
### остальные только читать, но опять могут все. :((
### Еще тут сделано
### extattrctl initattr -p /usr/shara 388 posix1e.acl_access
### extattrctl initattr -p /usr/shara 388 posix1e.acl_default


Помогите плиз не могу донастроить самбу. :(


Содержание

Сообщения в этом обсуждении
"Samba и NT ACL в домене Windows 2003"
Отправлено Сергей , 27-Окт-09 09:24 
Gjghj,eqnt e,hfnm djn 'nj
>[global]
>map to guest = bad user
>inherit acls = yes
>map acl inherit = yes
>guest ok = yes
>[share1]
>guest ok = Yes
>[Shara]
>guest ok = Yes

"Samba и NT ACL в домене Windows 2003"
Отправлено Сергей , 27-Окт-09 09:26 
Попробуйте убрать вот это
>[global]
>map to guest = bad user
>inherit acls = yes
>map acl inherit = yes
>guest ok = yes
>[share1]
>guest ok = Yes
>[Shara]
>guest ok = Yes

И посмотрите в недавно опубликованных советов заметку


"Samba и NT ACL в домене Windows 2003"
Отправлено visaversa , 27-Окт-09 13:20 
Проблема решилась!
Был трабл с аутентификацией доменных юзеров
id domainuser
выдавало ошибку.
Оказывается дело было в файле nsswitch.conf Он должен быть вот такого содержания
passwd: winbind
group: winbind
hosts: dns
всё остальное оттуда выкинул, потом появилась возможность назначать права.

>[оверквотинг удален]
>>map to guest = bad user
>>inherit acls = yes
>>map acl inherit = yes
>>guest ok = yes
>>[share1]
>>guest ok = Yes
>>[Shara]
>>guest ok = Yes
>
> И посмотрите в недавно опубликованных советов заметку