Новая железка от QNAP в качестве файлопомойки для небольшого офиса.
Домен под Windows 2003R2, клиентские станции под WinXP и Windows 7, все работает замечательно.
Третий день бьюсь с техподдержкой производителя.
Не корректно работают разрешения во вложенных папках.Т.е. например заведена на железке шара с названием TEST. На нее (на корень) через штатный Windows Explorer наброшены права для Domain Users (чтение) и Domain Admins (запись). Внутри создана папка, скажем TEST1, для которой убрано наследование, и вместо Domain Users стоит доменная группа для одного из подразделений с правами на запись.
В рез-те пользователи из этого подразделения внутрь зайти могут, но прав на запись внутри этой вложенной папки у них почему-то нет, только на чтение. И это при любой глубине вложенности.
Прошивка на устройстве последняя (4.1.4), на борту достаточно древняя самба версии 4.0.25 (есть доступ через ssh).
Саппорт производителя затерроризировал, все рекомендации (вплоть до пересброса устройства к заводским с пересозданием RAID-а) перепробовали.
Прошу почитать конфиг, глаз замылен, может что пропустил.[/etc] # cat smb.conf
[global]
passdb backend = smbpasswd
workgroup = FIRMA
security = ADS
server string =
encrypt passwords = Yes
username level = 0
map to guest = Bad User
null passwords = yes
max log size = 10
socket options = TCP_NODELAY SO_KEEPALIVE
os level = 20
preferred master = no
dns proxy = No
smb passwd file=/etc/config/smbpasswd
username map = /etc/config/smbusers
guest account = guest
directory mask = 0777
create mask = 0777
oplocks = yes
locking = yes
disable spoolss = no
load printers=yes
veto files = /.AppleDB/.AppleDouble/.AppleDesktop/:2eDS_Store/Network Trash Folder/TemporaryItems/TheVolumeSettingsFolder/.@__thumb/.@__desc/:2e*/.@__qini/.Qsync/.upload_cache/.qsync/.qsync_sn/
delete veto files = yes
map archive = no
map system = no
map hidden = no
map read only = no
deadtime = 10
server role = auto
use sendfile = yes
unix extensions = no
store dos attributes = yes
client ntlmv2 auth = yes
dos filetime resolution = no
wide links = yes
force unknown acl user = yes
template homedir = /share/homes/DOMAIN=%D/%U
inherit acls = yes
domain logons = no
min receivefile size = 256
case sensitive = auto
domain master = auto
local master = no
enhance acl v1 = yes
remove everyone = yes
conn log = no
kernel oplocks = no
printcap cache time = 0
acl allow execute always = yes
rpc_daemon:fssd = fork
pid directory = /var/lock
printcap name=/etc/printcap
printing=cups
show add printer wizard=norealm = firma.local
password server = dc1.firma.local
pam password change = yes
winbind enum users = yes
winbind enum groups = yes
winbind cache time = 3600
idmap config * : backend = tdb
idmap config * : range = 400001-500000
idmap config FIRMA : backend = rid
idmap config FIRMA : range = 10000001-20000000
host msdfs = no
wins support = no
name resolve order = host bcast
lanman auth = no
ntlm auth = yes
max protocol = SMB2_02[TEST]
comment =
path = /share/CACHEDEV1_DATA/A
browsable = yes
oplocks = yes
ftp write only = no
recycle bin = no
recycle bin administrators only = no
public = yes
invalid users = "guest"
read list = @"FIRMA\Domain Users"
write list = "admin",@"FIRMA\Domain Admins"
valid users = "root","admin",@"FIRMA\Domain Users",@"FIRMA\Domain Admins"
inherit permissions = yes
smb encrypt = disabled
mangled names = yes
admin users =
admin only =
Пытался подкинуть в глобал:
vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes
Также пытался повышать макс. версию smb до 3.0 включительно - тоже никакой реакции.
>[оверквотинг удален]
> smb encrypt = disabled
> mangled names = yes
> admin users =
> admin only =
> Пытался подкинуть в глобал:
> vfs objects = acl_xattr
> map acl inherit = yes
> store dos attributes = yes
> Также пытался повышать макс. версию smb до 3.0 включительно - тоже никакой
> реакции.не знаю как в QNAP но можно попробовать:
nt acl support = yes в глобал
vfs objects = acl_xattr не помешало бы в секцию [TEST] добавитьв [TEST] добавить:
inherit owner = yes
inherit acls = yes
inherit permissions = yes
map acl inherit = yes
далее перемонтировать папку /share/ с поддержкой acls:
#umount /share
#tunefs -a enable /share
#mount /share
#mount (смотрим для папки /share в скобках acls)
#getfacl /share (или другая вложенная папка или файл для просмотра разрешений)
> Прошивка на устройстве последняя (4.1.4), на борту достаточно древняя самба версии 4.0.25Чего это она древняя?
Долго боролся с самой 3.6 с такой же фигней, помогло только изменение directory mask
Ну и раздел должен быть примонтирован с опцией acl