Samba ntfs acl⁠⁠

[global]

security = ADS

workgroup = КОРОТКОЕ_ИМЯ_ДОМЕНА

realm = ПОЛНОЕ_ИМЯ_ДОМЕНА

dns proxy = no

socket options = TCP_NODELAY

domain master = no

local master = no

preferred master = no

os level = 0

load printers = no

show add printer wizard = no

printcap name = /dev/null

disable spoolss = yes

server string = %h server (Samba, Ubuntu)

log file = /var/log/samba/log.%m

log level = 1

max log size = 1000
logging = file

panic action = /usr/share/samba/panic-action %d

server role = standalone server

obey pam restrictions = yes

unix password sync = yes

passwd program = /usr/bin/passwd %u

passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .

pam password change = yes

map to guest = bad user

winbind enum users = Yes

winbind enum groups = Yes

winbind use default domain = Yes

winbind refresh tickets = Yes

idmap config * : backend = tdb

idmap config * : range = 3000-7999

idmap config КОРОТКОЕ_ИМЯ_ДОМЕНА : backend = rid

idmap config КОРОТКОЕ_ИМЯ_ДОМЕНА : range = 10000-9999999

usershare allow guests = yes

[ИМЯ_ШАРЫ]

comment = НАЗВАНИЕ_ШАРЫ

path = ПУТЬ_К_ШАРЕ_ВНУТРИ_ЛИНУКС

browseable = no

public = no

writeable = yes

read only = no

inherit acls = yes

inherit owner = yes

inherit permissions = yes

map acl inherit = yes

create mask = 0770

directory mask = 0770

force create mode = 0770

force directory mode = 0770

valid users = СПИСОК_ПОЛЬЗОВАТЕЛЕЙ_ИЛИ_ГРУПП_ИМЕЮЩИХ_ДОСТУП

Дальнейшие права раздавайте из Windows.

Это рабочая конфигурация на Ubuntu+Samba+Kerberos+Winbind.

А вы не подскажете, почему из Debian 10 не видно принтер, расшаренный на ПК с Windows? Оба находятся в домена АД. Ошибка NT_STATUS_ACCESS_DENIED. В конфиге smb.conf ничего особенного.

[global]
workgroup = ***
client signing = yes
kerberos method = dedicated keytab
#kerberos method = secrets and keytab
dedicated keytab file = /etc/krb5.keytab
pam password change = Yes
#password server =
log file = /var/log/samba/%m.log
realm = ***.RU
security = ADS
server string = ***
idmap config * : backend = tdb
#[homes]
# comment = Home Directories
# browseable = No
# create mask = 0700
# directory mask = 0700
# valid users = %S
[printers]
comment = All Printers
path = /var/spool/samba
browseable = No
printable = Yes
create mask = 0700
[print$]
comment = Printer Drivers
path = /var/lib/samba/printers

привет.

Как реализовал АД на дебиане?

привет.

Как реализовал АД на дебиане?

Ну то есть как и должно. Гуд.

Я бы из конфига еще убрал синхронизацию паролей и строку с passwd, но хз, может так свои плюсы )

Уточните - у вас в расшаренные папки с винды заходят сразу, или при входе дополнительно спрашивает логин пароль?

[global]

security = ADS

workgroup = КОРОТКОЕ_ИМЯ_ДОМЕНА

realm = ПОЛНОЕ_ИМЯ_ДОМЕНА

dns proxy = no

socket options = TCP_NODELAY

domain master = no

local master = no

preferred master = no

os level = 0

load printers = no

show add printer wizard = no

printcap name = /dev/null

disable spoolss = yes

server string = %h server (Samba, Ubuntu)

log file = /var/log/samba/log.%m

log level = 1

max log size = 1000
logging = file

panic action = /usr/share/samba/panic-action %d

server role = standalone server

obey pam restrictions = yes

unix password sync = yes

passwd program = /usr/bin/passwd %u

passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .

pam password change = yes

map to guest = bad user

winbind enum users = Yes

winbind enum groups = Yes

winbind use default domain = Yes

winbind refresh tickets = Yes

idmap config * : backend = tdb

idmap config * : range = 3000-7999

idmap config КОРОТКОЕ_ИМЯ_ДОМЕНА : backend = rid

idmap config КОРОТКОЕ_ИМЯ_ДОМЕНА : range = 10000-9999999

usershare allow guests = yes

[ИМЯ_ШАРЫ]

comment = НАЗВАНИЕ_ШАРЫ

path = ПУТЬ_К_ШАРЕ_ВНУТРИ_ЛИНУКС

browseable = no

public = no

writeable = yes

read only = no

inherit acls = yes

inherit owner = yes

inherit permissions = yes

map acl inherit = yes

create mask = 0770

directory mask = 0770

force create mode = 0770

force directory mode = 0770

valid users = СПИСОК_ПОЛЬЗОВАТЕЛЕЙ_ИЛИ_ГРУПП_ИМЕЮЩИХ_ДОСТУП

Дальнейшие права раздавайте из Windows.

Если в домен ввел и все работает, то для нормальной работы acl достаточно указать в конфиге

vfs objects = acl_xattr
map acl inherit = yes

Конфиг типовой как раз был, я о чем и говорю - первый раз настроил, потом проще. Но остался на старой работе )

Порядок был такой
1 поставить пакеты по списку
2 поменять krb5.conf и smb.conf и поправить под комп
3 ввести комп в домен (командой с компа)
4 проверить с помощью wbinfo как получает группы и юзеров
5 все, корректируем открытые ресурсы под задачи

Но честно скажу, 1с на такой шаре работала не очень

На центоси работало через winbind и kerberos, сейчас sssd порой используют. Какой-то адской проблемы, при организации файл-сервера с доступом по группам/юзерам домена нет, тут действительно надо первый раз конфиг настроить, потом проще ))

sudo apt update
sudo apt install acl

так
давай по порядку
acl пакет стоит?

А какое у вас ядро?

Могу предложить Virtual Box + Win2019Srv + AD =)