2006年7月20日

[samba-jp:18796] aclの設定について

やまと申します

sambaでaclを使用したアクセス権の設定について教えて下さい。

OSとsambaのバージョンは
OS:CentOS 4.1
samba:Version 3.0.10-1.4E.6
です。


現在 samba を Windows の ADS に同期させる形で
以下の設定で稼動させています。ユーザーのアカウントは
CentOS側では持たず Winbind を使っています。

# Samba config file created using SWAT
# Date: 2006/04/26 17:19:25

# Global parameters
[global]
dos charset = CP932
display charset = UTF-8
workgroup = DOMAIN
realm = DOMAIN.XXX.CO.JP
netbios name = CENTOS
server string = CentOS
security = ADS
password server = 192.168.0.1
log file = /var/log/samba/%m.log
max log size = 50
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
dns proxy = No
ldap ssl = no
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
template homedir = /home/data
winbind separator = +
cups options = raw

[printers]
comment = All Printers
path = /var/spool/samba
printable = Yes
browseable = No

[U]
path = /home/data
read only = No
guest ok = Yes

Uを共有のフォルダとして使っています。
Uの中にフォルダが数個あり、それぞれにACLでアクセス権を付けています。

chmod -R 750 /home/data/share1
setfacl -R -b /home/data/share1
setfacl -R -m g:"DOMAIN+USERG1":rwx /home/data/share1
setfacl -R -m g:"DOMAIN+USERG2":rx /home/data/share2
setfacl -R -x g:"DOMAIN+Domain Users" /home/data/share1

chmod -R 750 /home/data/share2
setfacl -R -b /home/data/share2
setfacl -R -m g:"DOMAIN+USERG1":rx /home/data/share2
setfacl -R -m g:"DOMAIN+USERG2":rwx /home/data/share2
setfacl -R -x g:"DOMAIN+Domain Users" /home/data/share2

各フォルダには各ユーザが所属するグループに所属した者は
読み書き可に、所属するグループ以外の者は読みのみ可と
したいと思っています。

既存のファイルをコピーして上記の acl の設定を行えば
望んだとおりの結果になるのですが、新規のファイルを作成した場合
acl のアクセス権が全く付与されず

# getfacl /home/data/share1/NewData.txt

# file: home/data/share1/NewData.txt
# owner: DOMAIN+user1
# group: DOMAIN+USERG1
user::rwx
group::r--
other::r--

のような状態になってしまいます。ユーザにはwindows側でプライマリ
グループを指定してあります。
新規作成時にフォルダのアクセス権をそのまま継承するような形に
する方法はあるでしょうか。

たとえば share1 で user1 があるファイルを新規で作成したとして
getfacl で見ると以下のようになっているのが理想です。

# file: home/data/share1/NewData.txt
# owner: DOMAIN+user1
# group: DOMAIN+USERG1
user::rwx
group:DOMAIN+USERG1:rwx
group:DOMAIN+USERG2:rx
other::---

現在は5分おきに acl を付け直すスクリプトを走らせています。
もしファイルの新規作成時にスクリプトを走らせたりsmb.conf の
どこかで設定できる項目があれば教えて下さい。

でももしできなければ

# file: home/data/share1/NewData.txt
# owner: DOMAIN+user1
# group: DOMAIN+USERG1
user::rwx
group::rwx ←ここを読み書き可
other::r--

となるだけでもありがたいです。

すいません、よろしくお願い致します。
--------------------------------------
Let's start Yahoo! Auction - Free Campaign Now!
http://pr.mail.yahoo.co.jp/auction/

投稿者 xml-rpc : 2006年7月20日 14:15
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/39766
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。