Samba PDC + setfacl — как задать права по умолчанию для новых файлов?
Приветвую.
Подскажите, пожалуйста, по команде setfacl.
Есть домен на samba 4 и отдельная машинка с файловым сервером тоже на samba 4. На файловом сервере выставлены разграничение прав доступа к сетевым папкам в соответствии с учётками в АД. Файловая система поддерживает расширенные атрибуты прав доступа:
UUID=XXXXXXX/data1 ext4 defaults,noexec,user_xattr,acl,barrier=1 0 2
- share (группа «Domain Users» имеет правона просмотр содержимого каталога)
--- Файлообменник (группа «Domain Users» доступ на чтение и запись)
--- Руководство (папку видит и имеет право на запись группа «Руководство»)
--- Продажи (группа «Domain Users» - просматривает содержимое, но не может удалять\изменять фалы; группа «Продажи» может изменять\удалять\создавать фалы)
Проблемой является папка «Продажи».
При помощи команды setfacl создаю права для «Domain Users»:
setfacl -R -m g:"Domain Users":r-x Продажи
setfacl -R -m g:Продажи:rwx Продажи
setfacl -m default:g:Продажи:rwx Продажи
getfacl Продажи
# file: Продажи
# owner: root
# group: Продажи
user::rwx
group::r-x
group:Domain\040Users:r-x
group:Продажи:rwx
mask::rwx
other::---
Проблема заключается в том, что при создании новых фалов пользователями группы «Продажи», файлам присваивается группа «Domain Users», и любой пользователь автоматически имеет право на удаление или правку нового файла.
ls -l Продажи
...
drwxrws---+ 2 user Domain Users 4096 июл 26 16:40 1
Вопрос: Как задать автоматическое присвоение вновь созданным\скопированным\изменённым файвам нужную групп (нужные права доступа), в частности, задать по умолчанию группу «Продажи», а не «Domain Users» с соответствующими ограничениями?
На всякий случай конфиг samba файлового сервера:
cat /etc/samba/smb.conf
[global]
workgroup = DOMAIN
server string = Файловый сервер
security = ADS
realm = DOMAIN.RU
idmap config *:backend = tdb
idmap config *:range = 70001-80000
idmap config DOMAIN:backend = ad
idmap config DOMAIN:schema_mode = rfc2307
idmap config DOMAIN:range = 500-40000
winbind nss info = rfc2307
winbind trusted domains only = no
winbind use default domain = yes
create mask = 0750
directory mask = 0750
vfs objects = acl_xattr btrfs
map acl inherit = Yes
store dos attributes = Yes
[share]
path = /data1/share
read only = no
hide unreadable = yes
PS: Нашёл ещё команду, которая ставил флаг группы на корневую папку
chmod g+s Продажи
ls -l Продажи
...
drwxrws---+ 2 user Domain Users 4096 июл 26 16:40 1