Добрый день. Прошу совета в решении следующей проблемы:

Сервер на Ubuntu Server 11.04 + Samba введен в Windows домен.
ACL внутри сервера работают, но с Windows сервера - "Отказано в доступе"

1. Контроллер домена- Windows 2008 RUS.
Т.к. винда русская, создан пользователь "Admin"с правами администратора домена.

2. Ubuntu Server 11.04 + Samba  введены в домен.
Выполнялось по статье:
"http://help.ubuntu.ru/wiki/%D1%84%D0%B0&...

3. Ubuntu видит доменных пользователей и доменные группы.
4. Для управления доступом к шарам через Windows были реализованы ACL:
Выполнено по:
"http://help.ubuntu.ru/wiki/access_control_list" &n...

Через команду setfacl права назначаются как локальным так и доменным пользователям.

5. Доменный пользователь, имеющий права на правку ACL для шары в smb.conf указан (это пользователь Admin- администратор домена),
но из под него с контроллера домена изменять права доступа к шарам на Ubuntu нельзя-
"Отказано в доступе"

Прошу Вашего совета. Куда копать?

Файл /etc/samba/smb.conf:
------------------------------------------------------------------------------------
[global]
    admin users = stalker
    dos charset = CP866
    unix charset = KOI8-R
    workgroup = CTC-IT
    realm = CTC-IT.INT
    netbios name = file
    auth methods = winbind
    socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192
    null passwords = true
    name resolve order = hosts bcast lmhosts
    case sensitive = no
    server string = %h server (Samba %v, Ubuntu)
    security = ADS
    encrypt passwords = true
    dns proxy = no
    log file = /var/log/samba/log.%m
    max log size = 1000
    syslog = 0
    panic action = /usr/share/samba/panic-action %d
    socket options = TCP_NODELAY
    domain master = no
    local master = no
    wins support = no
    wins server = 10.200.0.10
    preferred master = no
    os level = 0
    domain logons = no
    load printers = no
    client use spnego = yes
    client signing = yes
    show add printer wizard = no
    printcap name = /dev/null
    disable spoolss = yes
    idmap uid = 10000 - 40000
    idmap gid = 10000 - 40000
    winbind enum groups = yes
    winbind enum users = yes
    winbind use default domain = yes
    template shell = /bin/bash
    template homedir = /home/%D/%U
    winbind refresh tickets = yes
    winbind offline logon = yes
    winbind cache time = 1440
    winbind separator = /
    

[Share]
path = /Data/SG1000
read list = "@CTC-IT\Domain Users"
write list = "@CTC-IT\Domain Users"
admin users = CTC-IT\Admin
browseable = yes
read only = no
guest ok = no
create mask = 0660
directory mask = 0770
inherit owner = yes
inherit acls = yes
inherit permissions = yes
map acl inherit = yes
locking = no
full_audit:facility = local5
full_audit:priority = notice
full_audit:prefix = share=%S; id=%U; ip=%I -->
full_audit:success = unlink rmdir mkdir write rename write aio_write pwrite
full_audit:failure = unlink rmdir mkdir write rename write aio_write pwrite
full_audit:priority = INFO
--------------------------------------------------------------------------------------

• Ubuntu+Samba=член Win домена.Нет прав менять ACL через Win.    ,basker, 03:45 , 11-Июл-11
  • Ubuntu+Samba=член Win домена.Нет прав менять ACL через Win.    ,netc, 09:12 , 11-Июл-11
    • Ubuntu+Samba=член Win домена.Нет прав менять ACL через Win.    ,VZhik, 10:36 , 11-Июл-11
      • Ubuntu+Samba=член Win домена.Нет прав менять ACL через Win.    ,netc, 11:35 , 11-Июл-11
• Ubuntu+Samba=член Win домена.Нет прав менять ACL через Win.    ,Сергей, 10:05 , 11-Июл-11

>     winbind separator = /
> admin users = CTC-IT\Admin

Заметил ?

>>     winbind separator = /
>> admin users = CTC-IT\Admin
> Заметил ?

да кстати только что хотел сказать.

да и вообще, убери этот параметр вовсе или пиши

winbind separator = ”

это как раз \ обратный слэш в понимании самбы, который нам и нужен.

по крайней мере именно он работает и при входе на линукс сервер, для расшаривания папок и правки расширенных пермишеннов.

но лучше убери (winbind separator) по дефолту то что нужно - т.е. не указывай вообще этот параметр

я проверял разные: оказалось тот что по умолчанию имеет в виду самба - самый рабочий оказался

и не забудь про valid users

про кавычки почему забыл, сделай так:

   valid users = "@СTC-IT\Domain admins", "@CTC-IT\Admin"
   write list = "@CTC-IT\Domain admins", "@CTC-IT\Admin"

   admin users = "@CTC-IT\Domain admins"

у меня так - работает

вот кусок моего smb.conf

[raid5]
   comment = /mnt/bigraid
   path = /mnt/bigraid
   valid users = "@TC\Domain admins", "@TC\ssa"
   write list = "@TC\Domain admins", "@TC\ssa"
   admin users = "@TC\Domain Admins"
#  valid users = "@TC\domain users"
   read only = Yes
   browseable = Yes

   # маска для создаваемых файлов
   create mask             = 0022
   # маска для создаваемых директорий
   directory mask          = 0022
        # наследовать владельца (вышестоящей директории)
        inherit owner           = yes
        # наследовать ACL
        inherit acls            = yes
        # наследовать права
        inherit permissions     = yes
        # позвоялет редактору прав из винды корректно обрабатывать
        # наследуемые права
        map acl inherit         = yes
        # блокировки - иногда бывают грабли без этого пункта
        locking                 = no

Огромное спасибо за информацию. Помогло. Все работает.

> Огромное спасибо за информацию. Помогло. Все работает.

я тоже очень рад

nt acl support = yes