Как настроить самбу как контроллер домена с поддержкой acl?

Question

[Игорь Л]

Как настроить самбу как контроллер домена с поддержкой acl ?
сейчас настроено так:

конфиг самбы

# Global parameters
[global]
        netbios name = SERV2
        realm = WRK.LOCAL
        server role = active directory domain controller
        server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
        workgroup = WRK
        idmap_ldb:use rfc2307 = yes
#=======================Settings =====================================
load printers = no
log file = /var/log/samba/%m.log
log level = 1 vfs:1
full_audit:prefix = %u|%I|%S
full_audit:success = connect, open, mkdir, rmdir, unlink, write, rename
full_audit:failure = connect, open, mkdir, rmdir, unlink, write, rename
full_audit:facility = local5
full_audit:priority = notice
vfs objects = full_audit
max log size = 500
dns proxy = no
disable spoolss         = yes
winbind uid             = 1000-250000
winbind gid             = 1000-250000
winbind use default domain = yes
winbind enum users      = yes
winbind enum groups     = yes
winbind separator = \
template shell          = /bin/bash
enable privileges = yes
obey pam restrictions = no
acl compatibility = Auto
        #host msdfs = yes

[netlogon]
        path = /var/lib/samba/sysvol/wrk.local/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[share]
        vfs objects = acl_xattr
        browsable = yes
        #enable privileges = yes
        #acl map full control = false
        map read only = Permissions
        store dos attributes = yes
        valid users = @"domain users"
        map hidden = no
        write list = @"domain users"
        writeable = yes
        path = /mnt/hdd1/sharedir
        map archive = no
        map system = no
        inherit acls = yes
        inherit permissions = yes
        inherit owner = yes
        map acl inherit = yes
        acl group control = true
        dos filemode = yes
        nt acl support = yes

примонтирован диск , на нем папка path = /mnt/hdd1/sharedir

в логах такое - [2021/01/08 18:19:07.542744, 0] ../lib/util/util_runcmd.c:327(samba_runcmd_io_handler)
/usr/sbin/samba_kcc: Ignoring unknown parameter "acl compatibility"

---------------------

На отдельной машине установлена debian 10, настроена по различным инструкциям Samba, как контроллер домена, и примонтирован диск с общей папкой . В самбе заведены пользователи , которым будет дан доступ к своим папкам. Что бы разграничить доступ включена поддержка acl. Далее через оснастку windows activ directory, под учеткой администратора настраиваю разрешения на папки , есть некоторые которые доступны только нектоторым группам , другим только чтение и запись , кроме того они не должны иметь возможность удалять файлы и папки .

Comments

[aleks-th]

Вообще как он себя ведёт.
В сети его видно ?
Логины и пароли правильные под самбой юзеры сделаны ?
Версия винды из которой подключается ?
---
А вообще.
Мое мнение, что контроллер домена под самбой не имеет смысла.
Либо win сервер нормальный ставить. Либо другими путями решать задачу.
Самба это поделка для школьных экспериментов, и нифига не замена контроллеру домена под виндой.
----

[Игорь Л]

aleks-th, почему это

поделка для школьных экспериментов, и нифига не замена контроллеру домена под виндой.

?
свои функции выполняет нормально:
1) авторизация пользователей
2) доступ к папкам, можно дать доступ , кому то запретить.

[Игорь Л]

aleks-th, мне бы только правильный конфиг, вроде бы все настроено, но ошибки которые выходят как то надо исправить, пока не понимаю в чем дело

[aleks-th]

Игорь Л,
Во первых под самбой будет скорость работы с файлами в несколько раз ниже чем с тем же вин сервером.
Во вторых авторизация будет криво работать там не полноценная замена контроллеру домена. Прийдется с бубнами танцевать.

[aleks-th]

Игорь Л,
И в третьих вы не описали как оно по факту у вас работает.
Что не даёт даже намека на то что вам сделать.
В логе предупреждение которое ну никак не описывает вашу проблему.

А тащить ваш конфиг к себе и разбираться никто не станет.

[aleks-th]

Ошибка тупо говорит что проигнорирован неизвестный параметр.
И больше ничего не говорит.

[Игорь Л]

aleks-th, как правильно настроить тогда ? Да понятно что параметр самба не воспринимает.

[aleks-th]

Игорь Л, А что именно не работает ?
В сети не видит ?
Авторизация не работает ?
Или ещё что-то ?
---

[Игорь Л]

На отдельной машине установлена debian 10, настроена по различным инструкциям Samba, как контроллер домена, и примонтирован диск с общей папкой . В самбе заведены пользователи , которым будет дан доступ к своим папкам. Что бы разграничить доступ включена поддержка acl. Далее через оснастку windows activ directory, под учеткой администратора настраиваю разрешения на папки , есть некоторые которые доступны только нектоторым группам , другим только чтение и запись , кроме того они не должны иметь возможность удалять файлы и папки

[Игорь Л]

aleks-th, когда на общей папки открывается вкладка безопасность (это из под винды) вылетает проводник

Answer 1

[Korben5E]

man smb.conf
там искать все что связано с acl (/acl)

Я самбу в качестве КД делал пару раз, и то потому что нечем было заняться, встала сразу и все работало, но это было больше 4х лет назад, ключи в конфиге там любят менять.

зы: еще добавлю, все шары в отдельные конфиги, на каждого пользователя отдельный конфиг и там include=share.conf, в smb.conf только то что нужно всем без вариантов, остальное по include = %U.conf
это решает много проблем с доступом

Comments

[Игорь Л]

все шары в отдельные конфиги, на каждого пользователя отдельный конфиг и там include=share.conf, в smb.conf только то что нужно всем без вариантов, остальное по include = %U.con

а пример такого конфига можно , идея отличная !

[Korben5E]

Игорь Л, лет 15 так делаю :-)
в smb.conf оставляются только шары для всех(помойка, личный архив и т.п.), а остальное
include = /etc/samba/users/%U.conf

далее в /etc/samba/users/user1.conf пишем
include = /etc/samba/share/folder1.conf
include = /etc/samba/share/folder2.conf

ну и создаем файлы
/etc/samba/share/folder1.conf
/etc/samba/share/folder2.conf

личную папку делать так
[Личный архив]
comment = Личный архив
path = /HOME/%U
#
Потом можно по играться c
add user script = /etc/samba/myscript.sh %U %M %D
это выполнится при попытке открыть сервер, там можно автоматом создавать ресурсы по умолчанию и конфиги.

зы: удобно в общем, каждый видит только то что ему разрешено, легко делать папки только для определённой группы пользователей/отделов и т.д. например приватный обмен между кадрами и бухгалтерией.. бухи видят папку - "отдел кадров" , кадры - "бухгалтерия", а папка одна и та же.

[Игорь Л]

Korben5E, уже давно мучаюсь, вылетает explorer при попытке посмотреть вкладку безопасность , что может быть

[Korben5E]

Игорь Л, встречалось такое, но очень давно, сейчас нет, может какие порты на сервере не открыты?

[Игорь Л]

Korben5E, я вроде бы понял почему так происходит (у меня) в этой теме вопрос так вот у меня пользователь есть такой S-1-22-2-0 (windows его не может определить) и поэтому вылетает проводник, пока еще не разобрался как исправить. делаю пока так : создаю папку и в качестве пользователей ставлю все нужные мне группы пользователей , всех других убираю. пока работает нормально, но вот корневой каталог все еще его содержит , удалить не получается