web-dev-qa-db-fra.com

samba: le masque de création et le mode de création forcé ne peuvent pas définir le bit d'écriture de groupe

J'ai essayé toutes les combinaisons pour créer un masque et forcer le mode de création. Indépendamment de cela, tous les fichiers créés ont "rw-r - r--" au lieu de "rw-rw - ???" (Je me fiche des permissions des "autres").

smbd version 4.1.6-ubuntu (le dernier en date du 14.04)

Voici un extrait de smb.conf

[global]
    workgroup = MYDOMAIN
    realm = MYDOMAIN.FQDN
    server string = Файловый сервер %h (%i:%a)
    security = ADS
    allow trusted domains = No
    map to guest = Bad User
    obey pam restrictions = Yes
    pam password change = Yes
    passwd program = /usr/bin/passwd %u
    passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
    unix password sync = Yes
    syslog = 0
    log file = /var/log/samba/%U.%m.log
    max log size = 1000
    load printers = No
    printcap name = /dev/null
    disable spoolss = Yes
    dns proxy = No
    usershare allow guests = Yes
    panic action = /usr/share/samba/panic-action %d
    winbind enum users = Yes
    winbind enum groups = Yes
    winbind refresh tickets = Yes
    recycle:keeptree = yes
    idmap config * : range = 10000-50000
    idmap config * : schema_mode = rid
    idmap config MYDOMAIN : default = yes
    idmap config MYDOMAIN : cache time = 180
    idmap config MYDOMAIN : backend = rid
    idmap config MYDOMAIN : range = 100000-500000
    idmap config MYDOMAIN : schema_mode = rid
    idmap config * : backend = rid
    valid users = @MYDOMAIN\\acl_rsk30srv042_valid, @MYDOMAIN\acl_rsk30srv042_sd-rw, MYDOMAIN\svc_scan_330-001, MYDOMAIN\sysop, eao\administrator, MYDOMAIN\svc_sadm_330-02
    admin users = MYDOMAIN\svc_scan_330-001, MYDOMAIN\svc_sadm_330-02
    create mask = 0775
    force create mode = 0770
    directory mask = 0775
    force directory mode = 0770
    map acl inherit = Yes
    map archive = No
    map readonly = no
    store dos attributes = Yes
    vfs objects = recycle, acl_xattr

[homes]
    comment = %S's personal folder
    path = /home/%D/%U
    valid users = @MYDOMAIN\xall-330
    read only = No
    create mask = 0700
    directory mask = 0700
    browseable = No
    volume = %U-%S
    vfs objects = recycle:keeptree=yes

[IPC$]
    path = /etc/samba/fakeIPC
    valid users = "@MYDOMAIN\domain users", @MYDOMAIN\xall-330, @MYDOMAIN\acl_share_330-sov2014, nobody
    guest ok = Yes

[obmen]
    comment = Common file exchange
    path = /var/samba/obmen
    write list = @MYDOMAIN\acl_rsk30srv042_valid
    force group = MYDOMAIN\xall-330
    read only = No
    force create mode = 0666
    force directory mode = 0666
    guest ok = Yes
    browseable = No
    volume = obmen
    vfs objects = extd_audit, recycle:keeptree=yes

[secret]
    comment = Depts' folders
    path = /var/samba/secret
    guest ok = Yes

[053]
    comment = 053 - IT dept
    path = /var/samba/secret/053
    valid users = @MYDOMAIN\acl_share_330-053-rw
    force group = @MYDOMAIN\acl_share_330-053-rw
    read only = No
    guest ok = Yes
    browseable = No
    vfs objects = recycle:keeptree=yes, extd_audit

Droits de dossier:

drwxrwxr-x   2 root root fakeIPC 
drwxrwxrwx   9 nobody MYDOMAIN\xall-330 obmen
dr-xrwxr-x  36 nobody MYDOMAIN\xall-330 secret
drwxrwxrwx 17 nobody MYDOMAIN\acl_share_330-053-rw 053

Essayé de win7 box et de Ubuntu 14.04 - mêmes résultats. Certainement, quelque chose qui ne va pas avec samba4 ... J'ai essayé de définir

create mask = 0666
directory mask = 2775
force create mode = 774
force directory mode = 2774

le répertoire nouvellement créé a obtenu les autorisations: drwxrwsr-x mais le fichier copié a quand même: -rwxr-xr--

Je ne sais pas quoi faire ... Le patron me force de passer à winserver pour éviter de telles situations ...

2
Troublemaker-DV

RESOLU (semble être)

Le problème se trouvait dans le paramètre obéir aux restrictions de PAM. Par défaut, il est désactivé et je ne me souviens plus pourquoi. La configuration de SAMBA a été partiellement extraite d’une installation plus ancienne peut-être j’avais des raisons d’être obéissante là-bas :-)

Lorsqu'il est activé, les fichiers créés par SAMBA sont soumis à des restrictions UMASK. Je ne sais pas s'il est corrigible via les paramètres de connexion par défaut (quel est l'utilisateur?), Mais la commande umask me donne "0022", ce qui signifie "u + a g-w o-w".

J'espère que ça aidera à quelqu'un avec le même problème.

9
Troublemaker-DV