Есть домен win 2008r2, в нем сервер самба в режиме ADS, пользователи раскиданы по группам.
У каждого unix-юзера основная группа - users и есть еще по нескольку неосновных групп.
Задумка была в том, чтобы по этим группам разграничивать доступ, однако работает это как-то не так:Конкретно, мой тестовый юзер: tu3
# id tu3
uid=100278(tu3) gid=100(users) группы=100(users),1010(it)
Создал тестовые каталоги внутри шары:
# pwd
/data6
# ls -l a
total 16
drwxrwxrwx 3 root root 4096 May 14 17:41 a
drwxrwxr-x 2 root it 4096 May 14 17:41 b
drwxrwxr-x 3 root users 4096 May 14 17:43 c
drwxrwx--- 2 root users 4096 May 14 17:40 d
Если я делаю "su tu3" и создаю файлы, то они во всех 4 каталогах без проблем создаются.
По моему представлению, файлы через самбу должны тоже создаваться во всех 4 каталогах, однако создаются они только в "a" и "c":
# ls -l a/*
a/a:
total 4
drwxrwxr-x 2 tu3 users 4096 May 14 17:40 test
a/b:
total 0
a/c:
total 4
drwxrwxr-x 2 tu3 users 4096 May 14 17:43 test
a/d:
total 0
При этом в "d" винда вообще не заходит, говорит, что нет прав, хотя для users доступ по группе открыт. В "b" заходит, но создать файл не может.
ps показывает, что владелец процесса корректный:
# ps aux|grep smbd
root 2261 0.0 0.0 77900 1780 ? Ss May10 0:01 /usr/sbin/smbd -D
root 2365 0.0 0.0 77876 1368 ? S May10 0:00 /usr/sbin/smbd -D
tu3 9010 0.0 0.2 78556 5164 ? S 16:27 0:02 /usr/sbin/smbd -D
Ну и конфиг самбы:
[global]
workgroup = DOMAIN
netbios name = NAME
realm = DOMAIN.LOCAL
security = ADS
password server = *
ldap ssl = no
winbind use default domain = Yes
map untrusted to domain = Yes
winbind nested groups = Yes
auth methods = winbind
printing = cups
printcap name = cups
printcap cache time = 750
cups options = raw
map to guest = Bad User
create mask = 0664
directory mask = 0775
store dos attributes = Yes
unix extensions = No
wide links = Yes
log level = 6
[data6]
browseable = Yes
path = /data6
read only = No
inherit acls = Yes
Получается 2 странности:
1. чтобы зайти в каталог, самба использует права от others, хотя для даже для основной группы доступ есть.
2. чтобы записать файл, самба использует права группы, но только основной. А неосновной группы для этого не хватает.
Почему так происходит и можно ли настроить права самбы аналогично su?