Samba com grupos de diretórios ativos com caractere especial

1

Eu tenho um problema com grupos do Samba e do Active Directory que contém caracteres especiais como '@' '' (espaço).

Por exemplo, tenho um grupo cujo nome é: ' name.surname [email protected] ', participo do Samba:

[share_city]
    path = /data/share_city
    create mask = 0660
    directory mask = 2771
    force create mode = 0660
    create mode = 0660
    browseable = Yes
    browsable = Yes
    recycle:repository = .RecycleBin$/%U
    vfs object = recycle:repository recycle:keeptree
    write list = @"name.surname [email protected]"
    recycle:keeptree = yes
    recycle:versions = yes
    recycle:touch = no
    recycle:exclude = *.tmp|*.temp|*.obj|~$*
    recycle:exclude_dir = /tmp|/temp|/cache
    recycle:maxsize = 1073741824
    recycle:noversions = *.mdb
    admin users = adminad

Com o smbclient, posso conectar-me para compartilhar: = > Está ok

smb: \> ls
.                                   D        0  Fri Nov 25 18:55:31 2011
..                                  D        0  Fri Nov 25 17:34:39 2011
test3                               D        0  Fri Nov 25 18:55:31 2011
    56569 blocks of size 8388608. 52263 blocks available

= > mkdir não funciona

smb: \> mkdir test4
NT_STATUS_MEDIA_WRITE_PROTECTED making remote directory \test4

Então, se eu testar com acesso ao sistema, tudo o que funciona e a herança acl também funciona

E com grupos no mesmo diretório ativo que não contêm caracteres, tudo funciona bem.

O que estou tentando fazer é possível?

    
por Guillaume Chéramy 28.11.2011 / 14:27

1 resposta

2

Do ponto de vista do AD, há poucos caracteres que não são permitidos para grupos / nomes principais de segurança. Em particular, o símbolo @ é permitido. Os caracteres não permitidos incluem:

um espaço principal; um espaço à direita; e qualquer um dos seguintes caracteres:

# , + " \ < > ;  

No entanto, se você quiser que o nome "Pre-Windows 2000" corresponda ao CN, você não poderá usar:

/ \ [ ] : ; | = , + * ? < > "  

Observe que, na prática, o AD permite criar grupos com o símbolo de hash (#). Observe também que o atributo "samAccountName" é o nome "Pre-Windows 2000", portanto, a maioria das pessoas manteria essa lista de caracteres não permitidos.

Mais informações:

Nomes de objetos do Active Directory
link

    
por 28.11.2011 / 21:41