The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"samba и неосновные (побочные) группы пользователя"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Samba, выделена в отдельный форум)
Изначальное сообщение [ Отслеживать ]

"samba и неосновные (побочные) группы пользователя"  +/
Сообщение от iltmpz email(ok) on 14-Май-12, 17:57 
Есть домен win 2008r2, в нем сервер самба в режиме ADS, пользователи раскиданы по группам.
У каждого unix-юзера основная группа - users и есть еще по нескольку неосновных групп.
Задумка была в том, чтобы по этим группам разграничивать доступ, однако работает это как-то не так:

Конкретно, мой тестовый юзер: tu3
# id tu3
uid=100278(tu3) gid=100(users) группы=100(users),1010(it)

Создал тестовые каталоги внутри шары:
# pwd
/data6
# ls -l a
total 16
drwxrwxrwx 3 root root  4096 May 14 17:41 a
drwxrwxr-x 2 root it    4096 May 14 17:41 b
drwxrwxr-x 3 root users 4096 May 14 17:43 c
drwxrwx--- 2 root users 4096 May 14 17:40 d


Если я делаю "su tu3" и создаю файлы, то они во всех 4 каталогах без проблем создаются.
По моему представлению, файлы через самбу должны тоже создаваться во всех 4 каталогах, однако создаются они только в "a" и "c":
# ls -l a/*
a/a:
total 4
drwxrwxr-x 2 tu3 users 4096 May 14 17:40 test

a/b:
total 0

a/c:
total 4
drwxrwxr-x 2 tu3 users 4096 May 14 17:43 test

a/d:
total 0

При этом в "d" винда вообще не заходит, говорит, что нет прав, хотя для users доступ по группе открыт. В "b" заходит, но создать файл не может.

ps показывает, что владелец процесса корректный:
# ps aux|grep smbd
root      2261  0.0  0.0  77900  1780 ?        Ss   May10   0:01 /usr/sbin/smbd -D
root      2365  0.0  0.0  77876  1368 ?        S    May10   0:00 /usr/sbin/smbd -D
tu3       9010  0.0  0.2  78556  5164 ?        S    16:27   0:02 /usr/sbin/smbd -D

Ну и конфиг самбы:
[global]
        workgroup = DOMAIN
        netbios name = NAME
        realm = DOMAIN.LOCAL
        security = ADS
        password server = *
        ldap ssl = no

        winbind use default domain = Yes
        map untrusted to domain = Yes
        winbind nested groups = Yes
        auth methods = winbind
        printing = cups
        printcap name = cups
        printcap cache time = 750
        cups options = raw
        map to guest = Bad User
        create mask = 0664
        directory mask = 0775
        store dos attributes = Yes

        unix extensions = No
        wide links = Yes
        log level = 6

[data6]
        browseable = Yes
        path = /data6
        read only = No
        inherit acls = Yes

Получается 2 странности:
1. чтобы зайти в каталог, самба использует права от others, хотя для даже для основной группы доступ есть.
2. чтобы записать файл, самба использует права группы, но только основной. А неосновной группы для этого не хватает.
Почему так происходит и можно ли настроить права самбы аналогично su?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "samba и неосновные (побочные) группы пользователя"  +/
Сообщение от ACCA (ok) on 15-Май-12, 21:12 
> 1. чтобы зайти в каталог, самба использует права от others, хотя для
> даже для основной группы доступ есть.

Ну, не samba, а винда и группы проверяет свои. Самбе нужно сказать, кого во что транслировать: http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/g...


> 2. чтобы записать файл, самба использует права группы, но только основной. А
> неосновной группы для этого не хватает.

Отдай каталог группе. Поставь sticky bit: chmod g+s directory_name

Начиная с 3.5.9 можно использовать force group


> Почему так происходит и можно ли настроить права самбы аналогично su?

Нельзя - семантики не совпадают.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "samba и неосновные (побочные) группы пользователя"  +/
Сообщение от ALex_hha (??) on 31-Май-12, 00:20 
> Начиная с 3.5.9 можно использовать force group

откуда дровишки?

http://www.samba.org/samba/history/samba-3.5.9.html тут об этом ни слова, а вот на http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.ht... параметр доступен начиная с 2.0.5

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру