[Решено] centos 7 + ad+acl

7 Записи
2 Пользователи
1 Reactions
1,379 Просмотры
Записи: 4
Создатель темы
(@zrstln_cn)
New Member
Присоединился: 4 года назад

Подскажите плиз, сам не нашел. Имеется windows сеть с AD(2008) + файловый сервер (centos 7 minimal, Samba, sssd), который также член AD. ACL работает, все хорошо, да не совсем. Если пользователь-windows-AD создает файл в каталоге общего доступа файлового сервера (linux), то файл не наследует права по умолчанию назначенные каталогу утилитой setfcl 

sudo getfacl "/data/post/p.txt"
getfacl: Removing leading '/' from absolute path names
# file: data/p.txt
# owner: userAD
# group: groupAD
user::rwx
user:userAD:rwx                        #effective:r--
group::rwx                                #effective:r--
group:groupAD:rwx                   #effective:r--
mask::r--
other::---

 

Спасибо.

Ответить
Метки темы
6 Ответов
Записи: 926
Admin
(@zerox)
Prominent Member
Присоединился: 11 лет назад

Если я не ошибаюсь, права на новые файлы наследуются не из прав самого каталога, а из установленных default прав на нем. 

# getfacl epson
# file: epson
# owner: администратор
# group: администраторы\040домена
user::rwx
user:администратор:rwx
group::---
group:администраторы\040домена:---
group:gr_v:r-x
mask::rwx
other::---
default:user::rwx
default:user:администратор:rwx
default:group::rwx
default:group:администраторы\040домена:rwx
default:group:gr_top:r-x
default:group:gr_v:r-x
default:mask::rwx
default:other::r--
Ответить
Записи: 4
Создатель темы
(@zrstln_cn)
New Member
Присоединился: 4 года назад

➜ ~ sudo getfacl "/data/post"
getfacl: Removing leading '/' from absolute path names
# file: data/post
# owner: userAD
# group: groupAD
# flags: -s-
user::rwx
user:userAD:rwx
group::rwx
group:groupAD:rwx
mask::rwx
other::---
default:user::rwx
default:user:userAD:rwx
default:group::rwx
default:group:groupAD:rwx
default:mask::rwx
default:other::---

все что в каталоге 'post' должно наследоваться. но для новых файлов этого не происходит

(файлы которые были в данном каталоге, на момент назначения acl рекурсивно права получили)

~ sudo getfacl "/data/post/123.doc"
[sudo] пароль для a0:
getfacl: Removing leading '/' from absolute path names
# file: data/post/123.doc
# owner: userAD
# group: groupAD
# flags: -s-
user::rwx
user:userAD:rwx
group::rwx
group:groupAD:rwx
mask::rwx
other::---

 

Я пробовал делать (создавать/копировать новый файл с помошью проводника windows, с помощью файлового менеждера FAR, в котором есть выбор наследования либо копиравания прав доступа), все равно не получается. Уже грешу на AD, возможно там что то запрещает. ХЗ 

Ответить
Записи: 926
Admin
(@zerox)
Prominent Member
Присоединился: 11 лет назад

А какие права по факту получает файл при создании? Еще меня смущает строка:

 #effective:r--

Я не помню, откуда это берется.

Ответить
2 Ответов
(@zrstln_cn)
Присоединился: 4 года назад

New Member
Записи: 4

@zerox по факту файл доспупен (rwx) только хозяину, группе только для чтения. Требуется чтобы любой пользователь группы мог его удалять (работают почтовые сборщики от имени пользователей данной группы.  

mask::r-- накладывает ограничения, отсюда и #effective:r--. В этом и вижу проблему. Осталось понять почему она срабатывает (mask::r--). 

Ответить
Admin
(@zerox)
Присоединился: 11 лет назад

Prominent Member
Записи: 926

@zrstln_cn с этим и надо разбираться. Я много настраивал раньше файловых серверов под linux с интеграцией в AD. Каких то неразрешимых проблем с правами нет, но есть очень много нюансов. Сейчас я уже подзабыл все это, так как в основном с web технологиями работаю.

Ответить
Записи: 4
Создатель темы
(@zrstln_cn)
New Member
Присоединился: 4 года назад

Вопрос снимаю, разобрался))) причина была в параметре

Default: create mask = 0744 в smb.conf

Линуксами занимаюсь недавно, не сообразил сразу откуда уши растут.

Спасибо за поддержку.

Ответить
Используешь Telegram? Подпишись на канал автора →
This is default text for notification bar