У меня есть файловый сервер samba 4.4.3, настроенный как член домена AD.
Мой текущий файл smb.conf:
[global]
workgroup = MYDOMAIN
realm = MYDOMAIN.ROOT
security = ADS
encrypt passwords = yes
idmap config *:backend =tdb
idmap config *:range = 70001-80000
idmap config MYDOMAIN:backend = rid
idmap config MYDOMAIN:range = 80000 - 1234567890123456
winbind trusted domains only =no
winbind enum users = yes
winbind enum groups = yes
domain master = no
local master = no
map untrusted to domain = Yes
dedicated keytab file = /etc/krb5.keytab
kerberos method = secrets and keytab
winbind refresh tickets = yes
dns proxy = no
log level = 10
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
server role = member server
obey pam restrictions = yes
unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
pam password change = yes
map to guest = bad user
template shell = /bin/bash
template homedir = /home/%D/%U
client use spnego = yes
read only = yes
create mask = 0700
directory mask = 0700
[rw]
path = /srv/rw
writable = yes
guest ok = no
force user = share
force group = share
valid users=
allow hosts =
deny hosts =
Как видите, я использовал параметры «принудительно пользователя» и «принудительно группу», чтобы каждый пользователь в домене был привязан к share: share.
Теперь модель безопасности изменилась, я хотел бы отобразить пользователя домена для совместного использования: share только если пользователь домена находится в группе "shareWriteAccess" (домен), а в противном случае - ro: ro. Это возможно ?
Цель состоит в том, чтобы разрешить некоторым пользователям домена иметь доступ на запись к общему ресурсу, в то время как другим будет доступ только на чтение. Я был более уверен в использовании для этого проверки прав доступа к файлам Linux, поэтому я подумал о сопоставлении с двумя разными пользователями Linux. / srv / rw имеет разрешения 755 share: share, поэтому пользователи домена, отображаемые как ro: ro, фактически доступны только для чтения. Хотя я открыт для другого решения