active-directory – Samba可以支持完整的Windows-ACL吗？

我已经设置了一个具有AD集成和启用ACL的文件系统的Samba 3主机.使用 Windows客户端我可以设置用户和组权限.

到目前为止,Samba只是映射到POSIX ACL的rwx权限,这阻止我在Windows上使用“修改”或“完全控制”权限.我还阅读了一些有关xattrs和ZFS ACL支持的内容.

有人可以提示一下超越POSIX ACL的最佳方法是什么,以完全类似于Windows ACE？

解决方法

为了使Samba共享上的大多数Windows ACL选项连接到AD,您需要同时启用POSIX ACL和XATTRS：

/dev/sda2       /samba              ext3    user_xattr,acl  1   2

在你的smb.conf中,你需要启用idmapping,nt acls和属性映射,如下所示：

idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
idmap backend = idmap_rid:<domain_netbios_name>=16777216-33554431

nt acl support = yes
inherit acls = yes

map acl inherit = yes 
map archive = no
map hidden = no
map read only = no
map system = no
store dos attributes = yes
inherit permissions = yes

然后,您需要做的就是为共享定义管理员用户,并使用该用户编辑Windows中的安全设置.

[public]
path = /share/Public
public = yes
writable = yes
printable = no
admin users = "DOMAINuser"

唯一的问题可能与现有ACL(您“拒绝”root并将所有权转移给Windows用户)和未映射的用户组相关.

要手动映射组,您需要执行以下操作：

net groupmap delete ntgroup="Domain Admins"
net groupmap delete ntgroup="Domain Users"
net groupmap delete ntgroup="Domain Guests"

net groupmap add ntgroup="Domain Admins" rid=512 unixgroup=root
net groupmap add ntgroup="Domain Users" rid=513 unixgroup=users 
net groupmap add ntgroup="Domain Guests" rid=514 unixgroup=nobody

对于内置安全组.

然后为你的所有团体：

groupadd mygroup
net groupmap delete ntgroup="mygroup"   
net groupmap add ntgroup="DOMAINmygroup" rid=1000  unixgroup=mygroup   type=d

（编辑：安卓应用网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!