Что не так с samba?

Question

[partial]

Здравствуйте всем. Прошу помощи… уже сломал голову.

Дано: AD + samba + acl. 2 шары (home,depart).
Права home 777 (root:root). Внутри куча личных папок. например папка pupkin 700(pupkin:staff)
Права depart 770 (root:root) + acl rwx (staff).
Ситуация: Пользователь Пупкин заходит в свою личную папку успешно, но в тоже время получает отказано в доступе на папку depart. Причем его сосед Сидоров успешно заходит в обе шары. Оба пользователи члены группы staff.

Если пользователь Пупкин перелогиниться то успешно заходит в шару depart, но через несоклько дней все повторяется. так же помогает отключение от самбы через net use. Так же если на щару depart дать доступ всем (777), то его тоже пускает. При этом у пользователя Сидоров таких проблем вообще нет.

Вот лог с самбы в в момент подключения к шаре depart от пользователя pupkin

[2016/02/09 10:49:27.861687, 4] smbd/sec_ctx.c:314(set_sec_ctx)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2016/02/09 10:49:30.567826, 3] smbd/process.c:1662(process_smb)
Transaction 6889 of length 80 (0 toread)
[2016/02/09 10:49:30.568118, 3] smbd/process.c:1467(switch_message)
switch message SMBtrans2 (pid 30144) conn 0x7f131b7da0d0
[2016/02/09 10:49:30.568303, 4] smbd/sec_ctx.c:314(set_sec_ctx)
setting sec ctx (10004, 10002) - sec_ctx_stack_ndx = 0
[2016/02/09 10:49:30.568507, 4] smbd/vfs.c:780(vfs_ChDir)
vfs_ChDir to /mnt/depart
[2016/02/09 10:49:30.568703, 4] smbd/vfs.c:780(vfs_ChDir)
vfs_ChDir to /mnt/depart
[2016/02/09 10:49:30.568827, 3] smbd/service.c:190(set_current_service)
chdir (/mnt/depart) failed, reason: Отказано в доступе
[2016/02/09 10:49:30.568984, 3] smbd/error.c:81(error_packet_set)
error packet at smbd/process.c(1558) cmd=50 (SMBtrans2) NT_STATUS_ACCESS_DENIED

Я так понимаю проблема в том что винбинд как то коряво читает группы пользователей. есть подозрения на керберос, н опять же далеко не у всех такой баг. и да wbinfo -t успешно, он же показывает и группы и пользователей. getent passwd и group показывает все что должен

Буду признателен за любые мысли…
Спасибо.

Comments

[Михаил]

Конфиг шар в студию, и часть конфига где винбинд конфигурится тоже туда же, на винбинд гршить можно, у меня он допустим на ubuntu 14.04 отрбует произвольно из домена самбовое хранилище на arche решил пробелму только миграцией DC с бунты н арчь( и как следсвтие новой менее багнутой версией самбы, которо)

[Михаил]

и да, могут быть не совпадения с сабовыми правами доступа и никсовым acl тоже помню не плохо потрахался с этим, один пускает другой говорит иди ка ты нахуй, хотя в по конфигам вроде самба на асд должна ссылаться при проверке прав

[Михаил]

*на acl

[partial]

winbind:
winbind refresh tickets = yes
idmap config * : range = 10000-20000
idmap config * : backend = tdb
winbind enum groups = yes
winbind enum users = yes
winbind cache time = 60
idmap cache time = 60
idmap negative cache time = 60
template shell = /bin/false

shares:
[home]
read only = no
writable = yes
browseable = no
create mask = 0700
directory mask = 0700
root preexec = /etc/samba/mksambahomedirs.sh %S
path = /mnt/home/%S
vfs object = full_audit
veto files = /*.iso/*.run/*.sys/*.bat/*.com/*.bin/*.dll/*.avi/*.mp4/*.mkv/*.3gp/*.flv/*.mov/*.mpg/*.mpeg/*.mpeg1/*.mpeg4/*.mpv/*.aac/*.flac/*.mp3/*.wav/*.exe/
delete veto files = yes

[depart]
comment = depart
browseable = yes
writable = yes
path = /mnt/depart
create mask = 600
directory mask = 740
vfs object = full_audit
veto files = /*.dll/*.exe/*.inf/*.ini/*.run/*.sys/*.bat/*.com/*.vbs/*.lnk/*.bin/
delete veto files = yes

выносит мне мозг еще то что если прямо дать права пользователю на папку то пускает, а если группе в которую он входит то не пускает (((

[Михаил]

так у вас самба acl не котролит)) то есть самбе похуй чо там в асl выставлено)
# inherit acls = Yes
# map acl inherit = Yes
# acl group control = yes
чтобы быть уверенным что члоя пользователе

[Михаил]

й одной группы в папке убдет одинаковое поведение надо в шаре выставить что то типа этого

NEWS_EFIR]
comment = NEWS
path = /Stor/ext/NEWS_EFIR
write list = +"Domain Admins", +montagers, zenv
writeable = no
guest ok = yes
create mask = 0775
directory mask = 0777

это значит что в папку могут попасть все бользхватели из доменных админов, мотажеров и еще один кокретный пользователь а вообще я так подозерваю что самбы думает что пользователя надо пустить, а
acl говорит иди на хуй, проверьте права на папки в никсах ls -la почти наверняка там будет рзница в правах на папки которые должны быть одинаковыми

[partial]

да, не контролит, мне это не нужно, т.е. права я рулю не самбой, а аклами фс, ее (самбы) задача просто пустить всех доменных пользователей, с чем она справляется.
напомню, если тут же указать на папку акл с доступом самого пользователя то она тут же пускает. или просто 777 выставить на папку. т.е. не пускает акл который на фс. вот че он не пускает членов групп хз. т.е. к самой самбе то вопросов нет. тут либо винбинд глючит, либо керберос. а вот как отловить хз (((
если бы права стояли не те на папку, то перелогон не помагал бы, а так пользователь перелогинился или net use'ом дропнул все подключения то снова пускает.

[partial]

а может аклы фс глючат, ибо если бы винбинд глючил с керберосом то самба бы тоже не пустила т.к. в конфиге есть:
valid users = @"DOMAIN\domain users"

Answer 1

[athacker]

Нет ли папок, к которым пользователь pupkin может подключаться с другим логином-паролем? Чужим, например? Просто если он СНАЧАЛА подключится к какой-то папке на этом же сервере, но с другим логином-паролем, то потом и ко всем остальным папкам винда будет пытаться подключиться с той учёткой, которая была указана при подключении первоначально.

Comments

[partial]

да вот нет, подключение идет автоматом логон скриптами.