То ли я дурак, то ли лыжи всеж не едут.
samba4, ext4 смонтирована с user_xattr и acl
в [global] опции:
vfs objects = acl_xattr map acl inherit = Yes acl compatibility = auto store dos attributes = Yesв шаре по делу:
write list = @«%D\work users» admin users = @«%D\domain admins» read only = no create mask = 0666 directory mask = 0777 printable = no locking = nowinbind все видит, getent отрабатывает. Папка с шарой под владением admin:администраторы\040домена. Права из винды назначаются, но ни черта не работают по группам.
Даю доступ пользователям домена на чтение, группе work users на запись. Юзер из группы work users может только читать.
Даю доступ индивидуально юзеру на запись, он получает возможность писать. Задаю в домене work users как его основную группу, удаляю индивида из списка доступа - никакого продуктивного результата, опять только читает. У всех так, или мне повезло?
[global]
load printers = no
show add printer wizard = no
printcap name = /dev/null
disable spoolss = yes
workgroup = DOMAIN
password server = pdc.domain.ru
netbios name = filesrv
#server string = Samba Server Version %v
security = ads
realm = DOMAIN.RU
domain master = no
local master = no
preferred master = no
#socket options = TCP_NODELAY IPTOS_LOWDELAY SO_RCVBUF=131072 SO_SNDBUF=131072
use sendfile = true
idmap config *:backend = tdb
idmap config *:range = 10000-20000
idmap config DOMAIN:backend = rid
idmap config DOMAIN:range = 100000-199000
template shell = /sbin/nologin
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
winbind nested groups = yes
winbind refresh tickets = yes
client use spnego = yes
client ntlmv2 auth = yes
encrypt passwords = yes
restrict anonymous = 2
log file = /var/log/samba/log.%m
max log size = 50
#log level = 3
vfs objects = acl_xattr
map acl inherit = Yes
acl compatibility = auto
store dos attributes = Yes
[Work]
path = /data2/work
write list = @«%D\work users»
admin users = @«%D\domain admins»
read only = no
create mask = 0666
directory mask = 0777
printable = no
locking = no
hide files = .snap
vfs objects = recycle crossrename full_audit
crossrename:sizelimit = 268435456
recycle:repository = /data1/recycle/work
recycle:keeptree = yes
recycle:versions = yes
recycle:exclude = *.tmp | *.TMP | ~$* | ~WRL* | *.dwl | *.dwl2 | *.bak
recycle:maxsize = 268435456
recycle:directory_mode = 0777
full_audit:facility=LOCAL5
full_audit:priority=NOTICE
full_audit:failure = mkdir rmdir write unlink rename
full_audit:success = mkdir rmdir write pwrite unlink rename
full_audit:prefix = work|%U
log level = 0 vfs:2
