Здравствуйте всем. Прошу помощи… уже сломал голову.
Дано: AD + samba + acl. 2 шары (home,depart).
Права home 777 (root:root). Внутри куча личных папок. например папка pupkin 700(pupkin:staff)
Права depart 770 (root:root) + acl rwx (staff).
Ситуация: Пользователь Пупкин заходит в свою личную папку успешно, но в тоже время получает отказано в доступе на папку depart. Причем его сосед Сидоров успешно заходит в обе шары. Оба пользователи члены группы staff.
Если пользователь Пупкин перелогиниться то успешно заходит в шару depart, но через несоклько дней все повторяется. так же помогает отключение от самбы через net use. Так же если на щару depart дать доступ всем (777), то его тоже пускает. При этом у пользователя Сидоров таких проблем вообще нет.
Вот лог с самбы в в момент подключения к шаре depart от пользователя pupkin
Я так понимаю проблема в том что винбинд как то коряво читает группы пользователей. есть подозрения на керберос, н опять же далеко не у всех такой баг. и да wbinfo -t успешно, он же показывает и группы и пользователей. getent passwd и group показывает все что должен
Конфиг шар в студию, и часть конфига где винбинд конфигурится тоже туда же, на винбинд гршить можно, у меня он допустим на ubuntu 14.04 отрбует произвольно из домена самбовое хранилище на arche решил пробелму только миграцией DC с бунты н арчь( и как следсвтие новой менее багнутой версией самбы, которо)
и да, могут быть не совпадения с сабовыми правами доступа и никсовым acl тоже помню не плохо потрахался с этим, один пускает другой говорит иди ка ты нахуй, хотя в по конфигам вроде самба на асд должна ссылаться при проверке прав
так у вас самба acl не котролит)) то есть самбе похуй чо там в асl выставлено)
# inherit acls = Yes
# map acl inherit = Yes
# acl group control = yes
чтобы быть уверенным что члоя пользователе
й одной группы в папке убдет одинаковое поведение надо в шаре выставить что то типа этого
NEWS_EFIR]
comment = NEWS
path = /Stor/ext/NEWS_EFIR
write list = +"Domain Admins", +montagers, zenv
writeable = no
guest ok = yes
create mask = 0775
directory mask = 0777
это значит что в папку могут попасть все бользхватели из доменных админов, мотажеров и еще один кокретный пользователь а вообще я так подозерваю что самбы думает что пользователя надо пустить, а
acl говорит иди на хуй, проверьте права на папки в никсах ls -la почти наверняка там будет рзница в правах на папки которые должны быть одинаковыми
да, не контролит, мне это не нужно, т.е. права я рулю не самбой, а аклами фс, ее (самбы) задача просто пустить всех доменных пользователей, с чем она справляется.
напомню, если тут же указать на папку акл с доступом самого пользователя то она тут же пускает. или просто 777 выставить на папку. т.е. не пускает акл который на фс. вот че он не пускает членов групп хз. т.е. к самой самбе то вопросов нет. тут либо винбинд глючит, либо керберос. а вот как отловить хз (((
если бы права стояли не те на папку, то перелогон не помагал бы, а так пользователь перелогинился или net use'ом дропнул все подключения то снова пускает.
Нет ли папок, к которым пользователь pupkin может подключаться с другим логином-паролем? Чужим, например? Просто если он СНАЧАЛА подключится к какой-то папке на этом же сервере, но с другим логином-паролем, то потом и ко всем остальным папкам винда будет пытаться подключиться с той учёткой, которая была указана при подключении первоначально.