[samba-jp:18796] aclの設定について

yama mailinglist0507 @ yahoo.co.jp
2006年 7月 20日 (木) 14:15:34 JST 

やまと申します

sambaでaclを使用したアクセス権の設定について教えて下さい。

OSとsambaのバージョンは
OS:CentOS 4.1
samba:Version 3.0.10-1.4E.6
です。

現在 samba を Windows の ADS に同期させる形で
以下の設定で稼動させています。ユーザーのアカウントは
CentOS側では持たず Winbind を使っています。

# Samba config file created using SWAT
# Date: 2006/04/26 17:19:25

# Global parameters
[global]
        dos charset = CP932
        display charset = UTF-8
        workgroup = DOMAIN
        realm = DOMAIN.XXX.CO.JP
        netbios name = CENTOS
        server string = CentOS
        security = ADS
        password server = 192.168.0.1
        log file = /var/log/samba/%m.log
        max log size = 50
        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
        dns proxy = No
        ldap ssl = no
        idmap uid = 16777216-33554431
        idmap gid = 16777216-33554431
        template homedir = /home/data
        winbind separator = +
        cups options = raw

[printers]
        comment = All Printers
        path = /var/spool/samba
        printable = Yes
        browseable = No

[U]
        path = /home/data
        read only = No
        guest ok = Yes

Uを共有のフォルダとして使っています。
Uの中にフォルダが数個あり、それぞれにACLでアクセス権を付けています。

chmod -R 750 /home/data/share1
setfacl -R -b /home/data/share1
setfacl -R -m g:"DOMAIN+USERG1":rwx /home/data/share1
setfacl -R -m g:"DOMAIN+USERG2":rx /home/data/share2
setfacl -R -x g:"DOMAIN+Domain Users" /home/data/share1

chmod -R 750 /home/data/share2
setfacl -R -b /home/data/share2
setfacl -R -m g:"DOMAIN+USERG1":rx /home/data/share2
setfacl -R -m g:"DOMAIN+USERG2":rwx /home/data/share2
setfacl -R -x g:"DOMAIN+Domain Users" /home/data/share2

各フォルダには各ユーザが所属するグループに所属した者は
読み書き可に、所属するグループ以外の者は読みのみ可と
したいと思っています。

既存のファイルをコピーして上記の acl の設定を行えば
望んだとおりの結果になるのですが、新規のファイルを作成した場合
acl のアクセス権が全く付与されず

# getfacl /home/data/share1/NewData.txt

# file: home/data/share1/NewData.txt
# owner: DOMAIN+user1
# group: DOMAIN+USERG1
user::rwx
group::r--
other::r--

のような状態になってしまいます。ユーザにはwindows側でプライマリ
グループを指定してあります。
新規作成時にフォルダのアクセス権をそのまま継承するような形に
する方法はあるでしょうか。

たとえば share1 で user1 があるファイルを新規で作成したとして
getfacl で見ると以下のようになっているのが理想です。

# file: home/data/share1/NewData.txt
# owner: DOMAIN+user1
# group: DOMAIN+USERG1
user::rwx
group:DOMAIN+USERG1:rwx
group:DOMAIN+USERG2:rx
other::---

現在は5分おきに acl を付け直すスクリプトを走らせています。
もしファイルの新規作成時にスクリプトを走らせたりsmb.conf の
どこかで設定できる項目があれば教えて下さい。

でももしできなければ

# file: home/data/share1/NewData.txt
# owner: DOMAIN+user1
# group: DOMAIN+USERG1
user::rwx
group::rwx          ←ここを読み書き可
other::r--

となるだけでもありがたいです。

すいません、よろしくお願い致します。
--------------------------------------
Let's start Yahoo! Auction  -  Free Campaign Now!
http://pr.mail.yahoo.co.jp/auction/

samba-jp メーリングリストの案内