Server Admin Авторский блог системного администратора
Подскажите плиз, сам не нашел. Имеется windows сеть с AD(2008) + файловый сервер (centos 7 minimal, Samba, sssd), который также член AD. ACL работает, все хорошо, да не совсем. Если пользователь-windows-AD создает файл в каталоге общего доступа файлового сервера (linux), то файл не наследует права по умолчанию назначенные каталогу утилитой setfcl
sudo getfacl "/data/post/p.txt"
getfacl: Removing leading '/' from absolute path names
# file: data/p.txt
# owner: userAD
# group: groupAD
user::rwx
user:userAD:rwx #effective:r--
group::rwx #effective:r--
group:groupAD:rwx #effective:r--
mask::r--
other::---
Спасибо.
Если я не ошибаюсь, права на новые файлы наследуются не из прав самого каталога, а из установленных default прав на нем.
# getfacl epson
# file: epson
# owner: администратор
# group: администраторы\040домена
user::rwx
user:администратор:rwx
group::---
group:администраторы\040домена:---
group:gr_v:r-x
mask::rwx
other::---
default:user::rwx
default:user:администратор:rwx
default:group::rwx
default:group:администраторы\040домена:rwx
default:group:gr_top:r-x
default:group:gr_v:r-x
default:mask::rwx
default:other::r--
➜ ~ sudo getfacl "/data/post"
getfacl: Removing leading '/' from absolute path names
# file: data/post
# owner: userAD
# group: groupAD
# flags: -s-
user::rwx
user:userAD:rwx
group::rwx
group:groupAD:rwx
mask::rwx
other::---
default:user::rwx
default:user:userAD:rwx
default:group::rwx
default:group:groupAD:rwx
default:mask::rwx
default:other::---
все что в каталоге 'post' должно наследоваться. но для новых файлов этого не происходит
(файлы которые были в данном каталоге, на момент назначения acl рекурсивно права получили)
~ sudo getfacl "/data/post/123.doc"
[sudo] пароль для a0:
getfacl: Removing leading '/' from absolute path names
# file: data/post/123.doc
# owner: userAD
# group: groupAD
# flags: -s-
user::rwx
user:userAD:rwx
group::rwx
group:groupAD:rwx
mask::rwx
other::---
Я пробовал делать (создавать/копировать новый файл с помошью проводника windows, с помощью файлового менеждера FAR, в котором есть выбор наследования либо копиравания прав доступа), все равно не получается. Уже грешу на AD, возможно там что то запрещает. ХЗ
А какие права по факту получает файл при создании? Еще меня смущает строка:
#effective:r--
Я не помню, откуда это берется.
@zerox по факту файл доспупен (rwx) только хозяину, группе только для чтения. Требуется чтобы любой пользователь группы мог его удалять (работают почтовые сборщики от имени пользователей данной группы.
mask::r-- накладывает ограничения, отсюда и #effective:r--. В этом и вижу проблему. Осталось понять почему она срабатывает (mask::r--).
@zrstln_cn с этим и надо разбираться. Я много настраивал раньше файловых серверов под linux с интеграцией в AD. Каких то неразрешимых проблем с правами нет, но есть очень много нюансов. Сейчас я уже подзабыл все это, так как в основном с web технологиями работаю.
Вопрос снимаю, разобрался))) причина была в параметре
Default: create mask = 0744 в smb.conf
Линуксами занимаюсь недавно, не сообразил сразу откуда уши растут.
Спасибо за поддержку.
