C'est comme ça que je l'ai toujours fait, je ne sais pas trop où je lis ça.
Pour que la plupart des options Windows ACL sur vos partages Samba soient connectées à AD, vous devez activer les ACL POSIX et XATTRS:
/dev/sda2 /samba ext3 user_xattr,acl 1 2
Et dans votre smb.conf, vous devez activer idmapping, nt acls et le mappage d'attributs comme ceci:
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
idmap backend = idmap_rid:<domain_netbios_name>=16777216-33554431
nt acl support = yes
inherit acls = yes
map acl inherit = yes
map archive = no
map hidden = no
map read only = no
map system = no
store dos attributes = yes
inherit permissions = yes
Ensuite, tout ce que vous avez à faire est de définir un administrateur pour le partage et avec cet utilisateur de modifier les paramètres de sécurité à partir de Windows.
[public]
path = /share/Public
public = yes
writable = yes
printable = no
admin users = "DOMAIN\user"
Les seuls problèmes pourraient être liés aux listes de contrôle d'accès existantes (vous "reniez" la racine et transférez la propriété à votre utilisateur Windows) et aux groupes d'utilisateurs non mappés.
Pour mapper des groupes manuellement, vous devez faire quelque chose comme ceci:
net groupmap delete ntgroup="Domain Admins"
net groupmap delete ntgroup="Domain Users"
net groupmap delete ntgroup="Domain Guests"
net groupmap add ntgroup="Domain Admins" rid=512 unixgroup=root
net groupmap add ntgroup="Domain Users" rid=513 unixgroup=users
net groupmap add ntgroup="Domain Guests" rid=514 unixgroup=nobody
pour les groupes de sécurité intégrés.
Et puis pour tous vos groupes:
groupadd mygroup
net groupmap delete ntgroup="mygroup"
net groupmap add ntgroup="DOMAIN\mygroup" rid=1000 unixgroup=mygroup type=d
admin users
pouracl group control
et ensembleforce group = +DOMAIN\Admin-group
, de cette façon vous pouvez avoir plusieurs avec des autorisations d'administrateur.Si vous n'avez pas besoin des ACL POSIX sur les fichiers pour être réellement utilisables (par exemple, lorsque les utilisateurs ne peuvent pas se connecter à votre contrôleur Samba localement), vous pouvez avoir des ACL NT complètes en utilisant vfs:
la source
Vous devrez faire deux choses.
Tout d'abord, votre système de fichiers doit prendre en charge les ACL. Voici un exemple de ligne dans un fichier fstab qui active ACL, la vôtre sera bien sûr différente:
Une fois que vous avez fait cela (et remonté ou redémarré), vous souhaiterez activer nt acl dans votre fichier smb.conf:
Une fois que vous avez fait les deux et que vous avez redémarré Samba, vous devez disposer des ACL appropriées.
la source