Вопросы Теги

Samba4 может создать файлы с GID кроме “Основной группы” AD?

У меня есть Windows 2012 R2 AD. Пользователи все - члены группы "пользователи домена" и затем каждый пользователь, являются также членом другой группы, в зависимости от отдела. У всех пользователей есть "пользователи домена" как их "основная группа" в AD. Таким образом, это смотрит что-то как это:

uid=40001(user1) gid=123456(domain users) groups=123456(domain users),50001(dep1),301(BUILTIN\users)
uid=40002(user2) gid=123456(domain users) groups=123456(domain users),50002(dep2),301(BUILTIN\users)
uid=40003(user3) gid=123456(domain users) groups=123456(domain users),50002(dep2),301(BUILTIN\users)

Теперь, на доле Samba, их корневые каталоги должны принадлежать user:dep. Я создаю каталоги, показанные соответствующей группе, и устанавливаю гуид для палки:

drwxrws---+ 4 user1   dep2 41 Jan 13 17:30 user1
drwxrws---+ 3 user2   dep2 22 Jan 13 17:30 user2
drwxrws---+ 3 user3   dep2 22 Jan 13 17:30 user3

в/etc/samba/smb.conf я настроил корневые каталоги следующим образом:

[homes]
        comment = Home Directories
        browseable = no
        writable = yes
        directory mask=2770
        force directory mode=2770
        create mask=2770
        force create mode=2770
        force security mode=2770
        force directory security mode=2770

Но каждый раз, когда я монтирую долю в окнах и создаю файл или каталог внутри, она будет принадлежать группе по умолчанию:

-rwxrwx---+ 1 user1   domain users  0 Jan 14 13:16 Test.txt

Как я могу заставить самбу использовать depX группы для новых файлов и каталогов?

0
задан 14 January 2015 в 17:57
1 ответ

IRL не имеет значения, какой группе принадлежат файлы в личной папке пользователя: ни у кого не должно быть способа смонтировать их, кроме пользователя-владельца. Вот моя конфигурация для общего ресурса "home": 

[homes]
    comment = %S: personal folder
    valid users = @MYDOMAIN\my-subdomain-users
    read only = No
    browseable = No
    browsable = No
#    root preexec = /usr/local/sbin/mkhomedir.sh %D %S
    volume = %U-%S
    vfs objects = recycle:keeptree=yes
    create mask = 700
    directory mask = 700
    path = /home/%D/%U

Обратите внимание на маски: я запрещаю любой доступ к файлам и папкам для всех пользователей и групп, кроме владельца (700) . Вы наоборот РАЗРЕШАЕТЕ полный доступ для группы. Вам это действительно нужно в личных папках?

PS. Что касается прокомментированного "root preexec": старые SAMBA (до 4) не могли автоматически создавать домашние каталоги и нуждались в таком "медицинском костыле". Также обратите внимание на путь: я создал символическую ссылку для своего поддомена (я не позволю использовать этот общий ресурс для пользователей из других поддоменов): / home / MYDOMAIN -> / var / samba / homes / MYDOMAIN, а самба создает подкаталоги пользователей внутри пути указано:% D заменено на MYDOMAIN, а% U - на имя пользователя для входа.

0
ответ дан 24 November 2019 в 08:51

Теги

Похожие вопросы