Экспорт общих ресурсов Linux в клиенты Linux без проверки подлинности группы для каждого ресурса и без проблем с разрешениями

Учитывая один сервер Linux и множество клиентов Linux, мне нужно экспортировать некоторые общие каталоги с сервера. Поведение, которого я хочу добиться, действительно простое: группа пользователей может использовать общее пространство на сервере, не беспокоясь о существовании разрешений для файлов UNIX. Если бы я был в мире Windows, я бы просто поделился каталогом как r / w, добавил пользователей в список разрешений и бум, готово.

Но в мире Linux я не знаю, как этого добиться:

1. Каждый общий каталог может быть установлен только подмножеством пользователей, определенных группой (все пользователи / группы / логины обрабатываются через централизованный LDAP). Так, например. общий ресурс «/ var / foobar» на сервере должен быть доступен (для чтения / записи) только членам группы LDAP «foobar».
2. Пользователи должны иметь возможность создавать / изменять / удалять каталоги, файлы и т. Д. На общей папке с полным доступом при условии, что они находятся в нужной группе.
3. Пользователи должны быть неспособный завинтить права доступа к файлам / каталогам в общей папке таким образом, чтобы другие пользователи этой папки больше не могли получить к ним доступ. Большой стресс на неспособный.

Проблема с требованием №3 заключается в том, что существует множество приложений Linux, которым нравится «завинчивать» разрешения, игнорируя umask и / или заставляя chmod / chgrp после касания файла. Яркими примерами являются Nautilus и OpenOffice.

Неудачные эксперименты:

• NFS: пробовали разными способами, но если я выдавливаю, я не могу аутентифицироваться, и если я аутентифицирую, и пользователь пытается скопировать каталог с помощью Nautilus, разрешения теряются.
• Сетгид NFS + ACL. Все еще можно прикрутить с помощью стандартных настольных программ, выполняющих стандартные операции, которые каким-то образом приводят к принудительному запуску chmod или chgrp.
• sshfs / sftp-server: похоже, нет простого способа избежать вызовов chmod / chgrp. Eсть патч, плавающий вокруг это позволяет заблокировать chmod / chgrp, но возвращает ошибки клиенту, который жалуется пользователю. Похоже, я мог бы исправить патч, чтобы молча игнорировать chmod / chgrp, но я уже использую SFTP на этом сервере по другим причинам, и, похоже, нет простого способа определить различное поведение для разных каталогов.

Поможет ли Samba как-нибудь? Другие решения?