LINUX.ORG.RU
ФорумAdmin

Centos5.5+OpenLdap2.4+Samba3.5.6 -Проблемы с правами на файлы


0

1

Поднял ФС на CentOs 5.5 в связки OpenLdap 2.4.x + Samba 3.5.6 все прекрасно работает. Все машины завел в домен, скрипт подключает сетевые диски под виндой.Все прекрасно(почти)работает. Но возникли некоторые проблемы: 1) На одном из расшаренных ресурсов настроен автопроцессинг (VipNet деловая почта) файл уходит почтой, но удалится не может, пишет типа нет прав на удаление и автопроцессинг этот файл начинается бесконечно отсылать адресату, но приэтом на этом ресурсе пользователь может удалять писать файлы без проблем. Но стоит этот файл скопировать на локальный диск и обратно в папку автопроцессинга как он сразу отправляется и удаляется. Проблему конечно решил - в сабме к этому расш.ресурсу прописал строчку force user = root как все начало прекрасно работать. Но на этом ресурсе созданы папки с ограниченым доступом по группам, но после указания параметра force user = root все пользователи OpenLdap могут лазить по всем папкам, а это не гуд! и Еще на этом же расшаренном ресурсе настроен автопроцессинг другой почтовый программы - Lotus Notes - и все прекрасно работает отправляет и удаляет файлы!


описание шары из smb.conf? какие права на созданных файлах и дирах?

Можно включить дебаг в самбе и посмотреть, под кем подключается к шаре «процессинг» и почему конкретно не может удалить файл.

zgen ★★★★★
()
Ответ на: комментарий от zgen

[global] dos charset = CP866 unix charset = koi8-r display charset = koi8-r workgroup = 030 server string = fileserver interfaces = 127.0.0.1, localhost, 192.168.0.0/24 map to guest = Bad User passdb backend = ldapsam:ldap://127.0.0.1 log level = 0 vfs:2 syslog = 0 log file = /var/log/samba/log.%m max log size = 500 name resolve order = lmhosts wins dns host bcast time server = Yes printcap name = cups add user script = /usr/sbin/smbldap-useradd -m «%u» delete user script = /usr/sbin/smbldap-userdel «%u» add group script = /usr/sbin/smbldap-groupadd -p «%g» delete group script = /usr/sbin/smbldap-groupdel «%g» add user to group script = /usr/sbin/smbldap-groupmod -m «%u» «%g» delete user from group script = /usr/sbin/smbldap-groupmod -x «%u» «%g» set primary group script = /usr/sbin/smbldap-usermod -g «%g» «%u» add machine script = /usr/sbin/smbldap-useradd -i -w «%u» logon script = %a.bat logon path = logon drive = U: logon home = \\%L\USERS\%U domain logons = Yes preferred master = Yes domain master = Yes wins proxy = Yes wins support = Yes ldap admin dn = uid=admin30,ou=Users,dc=030,dc=ru ldap group suffix = ou=Groups ldap machine suffix = ou=Computers ldap passwd sync = yes ldap replication sleep = 60000 ldap suffix = dc=030,dc=ru ldap ssl = no ldap user suffix = ou=Users lock directory = /var/cache/samba usershare path = /var/cache/samba/usershares panic action = /usr/share/samba/panic-action %d idmap uid = 10000-20000 idmap gid = 10000-20000 winbind separator = @ winbind use default domain = Yes winbind trusted domains only = Yes admin users = admin30 inherit permissions = Yes inherit acls = Yes hosts allow = ALL map acl inherit = Yes case sensitive = No use client driver = No [TEMP] comment = TEMP path = /FileServer/WORK/share/TEMP public = yes vfs objects = full_audit full_audit:prefix = %u|%m|%I|%S full_audit:facility = local5 full_audit:success = mkdir rmdir rename unlink ftruncate write sendfile full_audit:priority = notice full_audit:failure = none writeable = yes locking = no map archive = no delete readonly = yes force create mode = 0777 force user = root create mode = 0666 directory mode = 0777

Dmit
() автор топика
Ответ на: комментарий от Dmit

Или вы оформите это так, чтобы можно было читать, или вам никто не будет помогать.

zgen ★★★★★
()
Ответ на: комментарий от zgen

Что то я в логах ничего не нашел! Либо не там гляжу, где что надо настроить и что смотреть, чтоб увидеть из за чего! И еще если я логинюсь на этом ПК под пользователем, который имеет право править данные в лдап базе, то все прекрасно тоже работает!

Dmit
() автор топика

1) На одном из расшаренных ресурсов настроен автопроцессинг (VipNet деловая почта)

На сервере настроен автопроцессинг? Какой софт для этого используется?

Но стоит этот файл скопировать на локальный диск и обратно в папку автопроцессинга как он сразу отправляется и удаляется.

Сравнивал владельца файла и права на него до и после этих манипуляций?

Deleted
()
Ответ на: комментарий от Dmit

[global] dos charset = CP866

unix charset = koi8-r

display charset = koi8-r

workgroup = 030

server string = fileserver

interfaces = 127.0.0.1, localhost, 192.168.0.0/24

map to guest = Bad User

passdb backend = ldapsam:ldap://127.0.0.1

log level = 0 vfs:2

syslog = 0

log file = /var/log/samba/log.%m

max log size = 500

name resolve order = lmhosts wins dns host bcast

time server = Yes

printcap name = cups

add user script = /usr/sbin/smbldap-useradd -m «%u»

delete user script = /usr/sbin/smbldap-userdel «%u»

add group script = /usr/sbin/smbldap-groupadd -p «%g»

delete group script = /usr/sbin/smbldap-groupdel «%g»

add user to group script = /usr/sbin/smbldap-groupmod -m «%u» «%g»

delete user from group script = /usr/sbin/smbldap-groupmod -x «%u» «%g»

set primary group script = /usr/sbin/smbldap-usermod -g «%g» «%u»

add machine script = /usr/sbin/smbldap-useradd -i -w «%u»

logon script = %a.bat

logon path = logon

drive = U:

logon home = \\%L\USERS\%U

domain logons = Yes

preferred master = Yes

domain master = Yes

wins proxy = Yes

wins support = Yes

ldap admin dn = uid=admin30,ou=Users,dc=030,dc=ru

ldap group suffix = ou=Groups

ldap machine suffix = ou=Computers

ldap passwd sync = yes

ldap replication sleep = 60000

ldap suffix = dc=030,dc=ru

ldap ssl = no

ldap user suffix = ou=Users

lock directory = /var/cache/samba

usershare path = /var/cache/samba/usershares

panic action = /usr/share/samba/panic-action %d

idmap uid = 10000-20000

idmap gid = 10000-20000

winbind separator = @

winbind use default domain = Yes

winbind trusted domains only = Yes

admin users = admin30

inherit permissions = Yes

inherit acls = Yes

hosts allow = ALL

map acl inherit = Yes

case sensitive = No

use client driver = No

[TEMP]

comment = TEMP

path = /FileServer/WORK/share/TEMP

public = yes

vfs objects = full_audit

full_audit:prefix = %u|%m|%I|%S

full_audit:facility = local5

full_audit:success = mkdir rmdir rename unlink ftruncate write sendfile

full_audit:priority = notice

full_audit:failure = none

writeable = yes

locking = no

map archive = no

delete readonly = yes

force create mode = 0777

force user = root

create mode = 0666

directory mode = 0777

Dmit
() автор топика
Ответ на: комментарий от Deleted

нет не на сервере, используется софт - VipNet Деловая почта - так и зовется

Сравнивал и до и после! До - тот кто его создал, после копирования туда-сюда файл пренадлежит пользователю, где стоит почта.

Dmit
() автор топика
Ответ на: комментарий от Dmit

Сравнивал и до и после! До - тот кто его создал, после копирования туда-сюда файл пренадлежит пользователю, где стоит почта.

Думаю тебя спасёт POSIX ACL. Есть более костыльное решение - включить обоих юзеров в одну группу и заставить самбу принудительно давать права на файлы нужной шары этой группе (конкретные опции не помню).

Deleted
()
Ответ на: комментарий от Deleted

еще один есть косяк, не работают символные ссылки точнее работают, но никто не могет зайти типа нет прав, а если подцепить папку командой bind -o /ffff/fff /aaa/fff/, то все работает

Dmit
() автор топика
Ответ на: комментарий от Dmit

еще один есть косяк, не работают символные ссылки точнее работают, но никто не могет зайти

наверняка нужно выставить

unix extensions = no

zgen ★★★★★
()
Ответ на: комментарий от zgen

так по умолчанию у самбы стоит unix extensions = no соответственно все равно не работают символьные ссылки

Dmit
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.