我已经设置了一个具有AD集成和启用ACL的文件系统的Samba 3主机.使用
Windows客户端我可以设置用户和组权限.
到目前为止,Samba只是映射到POSIX ACL的rwx权限,这阻止我在Windows上使用“修改”或“完全控制”权限.我还阅读了一些有关xattrs和ZFS ACL支持的内容.
解决方法
这就是我一直这样做的方式,不太清楚我在哪里读到这个.
为了使Samba共享上的大多数Windows ACL选项连接到AD,您需要同时启用POSIX ACL和XATTRS:
/dev/sda2 /samba ext3 user_xattr,acl 1 2
在你的smb.conf中,你需要启用idmapping,nt acls和属性映射,如下所示:
idmap uid = 16777216-33554431 idmap gid = 16777216-33554431 idmap backend = idmap_rid:<domain_netbios_name>=16777216-33554431 nt acl support = yes inherit acls = yes map acl inherit = yes map archive = no map hidden = no map read only = no map system = no store dos attributes = yes inherit permissions = yes
然后,您需要做的就是为共享定义管理员用户,并使用该用户编辑Windows中的安全设置.
[public] path = /share/Public public = yes writable = yes printable = no admin users = "DOMAIN\user"
唯一的问题可能与现有ACL(您“拒绝”root并将所有权转移给Windows用户)和未映射的用户组相关.
要手动映射组,您需要执行以下操作:
net groupmap delete ntgroup="Domain Admins" net groupmap delete ntgroup="Domain Users" net groupmap delete ntgroup="Domain Guests" net groupmap add ntgroup="Domain Admins" rid=512 unixgroup=root net groupmap add ntgroup="Domain Users" rid=513 unixgroup=users net groupmap add ntgroup="Domain Guests" rid=514 unixgroup=nobody
对于内置安全组.
然后为你的所有团体:
groupadd mygroup net groupmap delete ntgroup="mygroup" net groupmap add ntgroup="DOMAIN\mygroup" rid=1000 unixgroup=mygroup type=d
