Problemas com Samba + ACLs

[brunitto]

Bom dia

Tenho um servidor de arquivos Samba rodando como PDC e o sistema de permissões file mode não atende mais as necessidades de minha rede. Então eu re-compilei o kernel (2.6.23.1) ativando o suporte para atributos extendidos e ACLs na minha partição EXT3.

No samba adicionei as seguintes opções:

Código Selecionar Expandir


map acl inherit = 1
inherit acls =1
inherit permissions = 1


Um mapa resumido das pastas compartilhadas:

/empresa
|
+ pasta1
|
+ pasta2
|
+ financeiro
   |
   + contas_receber
|
+ ...

A pasta financeiro pertence ao usuário empresa e ao grupo financeiro e possui permissões 770

O meu objetivo é permitir que usuários do grupo administrativo tenha acesso de leitura e um usuário "pindoca" também do grupo administrativo tenha acesso total, na pasta contas_receber. Meu procedimento foi:

1. Permitir que o grupo administrativo tenha acesso de leitura na pasta financeiro:
        root@server:/empresa# setfacl -m g:administrativo:r-x financeiro/

2. Permitir que o grupo administrativo tenha acesso de leitura na pasta contas_receber:
        root@server:/empresa/financeiro# setfacl -m g:administrativo:r-x contas_receber/
        root@server:/empresa/financeiro# setfacl -m g:administrativo:r-x contas_receber/*
        root@server:/empresa/financeiro# setfacl -d -m g:administrativo:r-x contas_receber/
        root@server:/empresa/financeiro# setfacl -d -m g:administrativo:r-x contas_receber/*

3. Permitir que o usuário pindoca tenha acesso total a pasta contas_receber:
        root@server:/empresa/financeiro# setfacl -m u:pindoca:rwx contas_receber/
        root@server:/empresa/financeiro# setfacl -m u:pindoca:rwx contas_receber/*
        root@server:/empresa/financeiro# setfacl -d -m u:pindoca:rwx contas_receber/
        root@server:/empresa/financeiro# setfacl -d -m u:pindoca:rwx contas_receber/*
        root@server:/empresa/financeiro# setfacl -d -m m::rwx contas_receber/
        root@server:/empresa/financeiro# setfacl -d -m m::rwx contas_receber/*

Quando testei na máquina cliente (winXP SP2):

• O usuário pindoca consegue criar arquivos, mas não deleta-los nem renomea-los
• O usuário pindoca consegue editar arquivos existentes
• Os usuários de grupo administrativo conseguem apenas ler os arquivos da pasta
• Quando verifico as permissões dos arquivos criados pelo usuário pindoca, noto que ele possui todas as permissões como definidas by default, porém a máscara está diferente da especificada no último comando da lista acima, ao invés de estar como rwx, está como rw-. Acredito que seja isso que esteja impossibilitando o usuário de renomear e remover os arquivos.

Qualquer ajuda é bem-vinda...

Muito obrigado!
[/list]

[eltonandrade1]

Brother,

Tenta jogar o usuário pindoca para um grupo e específica e tenta as permissões p/ ver.

eltonandrade1@gmail.com

[brunitto]

Obrigado pela resposa...

Eu joguei o pindoca em um grupo testgroup e defini acesso total na pasta, não adianta...

Fiz um teste logando com o usuário pindoca no servidor diretamente (não pelo domínio) e tudo funciona normalmente. Isso me leva a considerar algo no servidor de arquivos samba, relacionado ao modo com o qual os arquivos são criados. No linux eles são criados usando umask 0666 (que tira a permissão de execução para todos as classes de usuário). Eu tentei usar a opção create mask e directory mask no smb.conf, mas não adiantou.

Obrigado