active-directory – Samba可以支持完整的Windows-ACL吗?

前端之家收集整理的这篇文章主要介绍了active-directory – Samba可以支持完整的Windows-ACL吗?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我已经设置了一个具有AD集成和启用ACL的文件系统的Samba 3主机.使用 Windows客户端我可以设置用户和组权限.

到目前为止,Samba只是映射到POSIX ACL的rwx权限,这阻止我在Windows上使用“修改”或“完全控制”权限.我还阅读了一些有关xattrs和ZFS ACL支持内容.

有人可以提示一下超越POSIX ACL的最佳方法是什么,以完全类似于Windows ACE?

解决方法

这就是我一直这样做的方式,不太清楚我在哪里读到这个.

为了使Samba共享上的大多数Windows ACL选项连接到AD,您需要同时启用POSIX ACL和XATTRS:

/dev/sda2       /samba              ext3    user_xattr,acl  1   2

在你的smb.conf中,你需要启用idmapping,nt acls和属性映射,如下所示:

idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
idmap backend = idmap_rid:<domain_netbios_name>=16777216-33554431

nt acl support = yes
inherit acls = yes

map acl inherit = yes 
map archive = no
map hidden = no
map read only = no
map system = no
store dos attributes = yes
inherit permissions = yes

然后,您需要做的就是为共享定义管理员用户,并使用该用户编辑Windows中的安全设置.

[public]
path = /share/Public
public = yes
writable = yes
printable = no
admin users = "DOMAIN\user"

唯一的问题可能与现有ACL(您“拒绝”root并将所有权转移给Windows用户)和未映射的用户组相关.

要手动映射组,您需要执行以下操作:

net groupmap delete ntgroup="Domain Admins"
net groupmap delete ntgroup="Domain Users"
net groupmap delete ntgroup="Domain Guests"

net groupmap add ntgroup="Domain Admins" rid=512 unixgroup=root
net groupmap add ntgroup="Domain Users" rid=513 unixgroup=users 
net groupmap add ntgroup="Domain Guests" rid=514 unixgroup=nobody

对于内置安全组.

然后为你的所有团体:

groupadd mygroup
net groupmap delete ntgroup="mygroup"   
net groupmap add ntgroup="DOMAIN\mygroup" rid=1000  unixgroup=mygroup   type=d

猜你在找的Linux相关文章