SAMBA, AD, getent, wbinfo
SAMBA (3.0.37) +AD
Потребовалось организовать доступ к каталогу по SMB для некоей группы доменных пользователей. Предположим user1, user2, user3. В домене создал группу group1, добавив в нее соответствующих пользователей. Права на каталог для группы rwx. Пытаюсь произвести запись в каталоги из под разных пользователей, получаю ошибку доступа. Более чем странно. Проверяю группу:
wbinfo --group-info group1
group1:x:10644
Есть такая группа. Проверяю пользователя
wbinfo -r user1 | sort
10000
...
...
10446
10606
10621
10623
Судя по всему пользователь user1 в группу с gid 10644 не входит. Организуем следствие:
net -U admin user info user1
admins's password:
...
group1
...
Ищем еще "свидетелей":
getent group group1
group1:x:10644:user1,user2,user3
По всему выходит, что wbinfo нагло врет, ибо все остальное показывает то, что надо. В логах ошибок не наблюдается. В кэше самбы более менее приличные (с точки зрения tdbdump) *.tdb.
Куда копать дальше не понятно. Винда информацию, по логике вещей, отдает на ура.
Проблему заткнул добавив acl на каждого юзера. Но хотелось бы получить вменяемую обработку (всех!) групп.
- Для комментирования войдите или зарегистрируйтесь
Думал что 3.0.37 старье.
Думал что 3.0.37 старье. Боевой сервак трогать страшно, однако. Надо как нить под праздники поапгрейдить.
На десктопе samba 3.4.9 История та же. Кривизна АД это понятно.
Такое ощущение что два инструмента из одного пакета используют разные механизмы получения инфы. Причем реализация winbind значительно хуже реализации net, не говоря уж о реализации getent из glibc
Просто делай в шаре ACL на
Просто делай в шаре ACL на группу и все. SFU в AD стоит?
Не грусти, товарищ! Всё хорошо, beautiful good!
>>Просто делай в шаре ACL на
>>Просто делай в шаре ACL на группу и все. SFU в AD стоит?
SFU в AD не стоит. А акцесслисты, судя по всему, используют для определения состава группы механизмы winbind.
Кстати сегодняшняя проверка показала, что синхронизация таки устаканилась. Все юзеры (по версии wbinfo) в нужную группу таки вошли.
Завтра надо попробовать вынести юзеров с акцесслистов.