Настройка Samba, что делаю неправильно?

Question

[L0ns]

Коллеги, помогите разобраться в логике работы прав доступа Samba+AD.

Вводные данные:
Domain: xdev.local
Linux-SRV: xs-monitoring

В AD я создал пользователя XDEV\supporter которого включил в группу XDEV\Monitoring (+ дефолтная группа XDEV\Domain Users)

На сервере xs-monitoring Centos 7 есть папка /mnt/share которую я делаю общедоступной по сети, чтобы заливать информацию с windows тачек которые находятся в domene XDEV.

Права на папку:

chown dadm:'Domain Users' /mnt/share
chmod 0770 /mnt/share

[root@xs-monitoring mnt]# ls -l
total 0
drwxrwx---+ 2 dadm domain users 6 Oct 11 12:08 share

Конфиг samba /etc/samba/smb.conf

# See smb.conf.example for a more detailed config file or
# read the smb.conf manpage.
# Run 'testparm' to verify the config is correct after
# you modified it.

[global]
#--authconfig--start-line--

# Generated by authconfig on 2019/10/10 10:22:28
# DO NOT EDIT THIS SECTION (delimited by --start-line--/--end-line--)
# Any modification may be deleted or altered by authconfig in future

   workgroup = XDEV
   password server = xdc01.xdev.local
   realm = XDEV.LOCAL
   security = ads
   idmap config * : range = 16777216-33554431
   template homedir = /home/%U
   template shell = /bin/bash
   kerberos method = secrets only
   winbind use default domain = true
   winbind offline logon = false

#--authconfig--end-line--
;       workgroup = SAMBA
;       security = user

        passdb backend = tdbsam

;       printing = cups
;       printcap name = cups
;       load printers = yes
;       cups options = raw

load printers = no
show add printer wizard = no
printcap name = /dev/null
disable spoolss = yes
domain master = no
local master = no
preferred master = no
os level = 1
log level = 3
log file = /var/log/samba/log.%m

[share]
        path = /mnt/share
        writeable = yes
        browsable = yes
#Ограничивает список пользователей, которые имеют право подключаться
        valid users = "@XDEV\Domain Admins" "@XDEV\Monitoring"
        write list  = "@XDEV\Monitoring"
       admin users = "@XDEV\Domain Admins"
#Маска для созданных файлов
        create mask = 0777
#Маска для созданных папок
        directory mask = 0777

Проблема в том, под пользователем dadm (он же owner) у меня есть права на запись и я могу делать правки, а под пользователем supporter у меня права только на чтение, в папку зайти могу, но удалить или создать в ней ничего не получается. Под другими пользователями, например XDEV\manager я зайти не могу, хотя это странно, но запрашивает логин/пароль, а не отбивает со словами, что нет доступа.

Просто насколько я понимаю логику предоставления прав к папке командой chmod 0770 /mnt/share полный доступ у Владельцев, полный доступ у Группы (в моем случае это Monitoring) и Без доступа у остальных пользователей.

Ну и напоследок лог от самбы, действия: вход в папку share с windows тачки и попытка создания папки:

[2019/10/11 12:25:34.775330,  3] ../source3/smbd/dir.c:662(dptr_create)
  creating new dirptr 0 for path ., expect_close = 0
[2019/10/11 12:25:34.775394,  3] ../source3/smbd/dir.c:1225(smbd_dirptr_get_entry)
  smbd_dirptr_get_entry mask=[*] found . fname=. (.)
[2019/10/11 12:25:34.775454,  3] ../source3/smbd/dir.c:1225(smbd_dirptr_get_entry)
  smbd_dirptr_get_entry mask=[*] found .. fname=.. (..)
[2019/10/11 12:25:34.775537,  3] ../source3/smbd/smb2_server.c:3190(smbd_smb2_request_error_ex)
  smbd_smb2_request_error_ex: smbd_smb2_request_error_ex: idx[5] status[STATUS_NO_MORE_FILES] || at ../source3/smbd/smb2_query_directory.c:158
[2019/10/11 12:25:37.087212,  3] ../source3/smbd/service.c:1129(close_cnum)
  10.10.10.65 (ipv4:10.10.10.65:50797) closed connection to service IPC$
[2019/10/11 12:25:44.783785,  3] ../source3/smbd/smb2_server.c:3190(smbd_smb2_request_error_ex)
  smbd_smb2_request_error_ex: smbd_smb2_request_error_ex: idx[1] status[NT_STATUS_OBJECT_NAME_NOT_FOUND] || at ../source3/smbd/smb2_create.c:296


[2019/10/11 12:25:44.790612,  2] ../source3/smbd/open.c:4043(open_directory)
  open_directory: unable to create New folder. Error was NT_STATUS_ACCESS_DENIED
[2019/10/11 12:25:44.790656,  3] ../source3/smbd/smb2_server.c:3190(smbd_smb2_request_error_ex)
  smbd_smb2_request_error_ex: smbd_smb2_request_error_ex: idx[1] status[NT_STATUS_ACCESS_DENIED] || at ../source3/smbd/smb2_create.c:296

Answer 1

[Radjah]

valid users = "@XDEV\Domain Admins" "@XDEV\Monitoring"

Тут по идее вместо пробела должна быть запятая. По крайней мере гугл выводит на такой ман https://smb-conf.ru/valid-users-s.html Там пункты разделены запятой.

Тут тоже запятые.
https://www.samba.org/samba/docs/current/man-html/...

Comments

[L0ns]

Спасибо, но не помогло

Answer 2

[Александр Черных]

рабочий вариант

valid users = @"DKC\domain admins" @"DKC\Backup Operators"

Comments

[L0ns]

Спасибо, вариант наверное рабочий, но видимо не в моём случае....

Answer 3

[L0ns]

Коллеги, спасибо за помощь. Проблема решилась пересозданием папки /mnt/share
Единственное не понимаю зачем нужен атрибут write list = "@XDEV\Monitoring" если права регулируются chmod т.е. если сделать chmod 0750 /mnt/share, то права у пользователя входящего в группу Monitoring будут только на чтение, даже если заменить chown dadm:'Domain Users' /mnt/share на chown dadm:'Monitoring' /mnt/share