Eu tenho um servidor de arquivos samba 4.4.3 configurado como membro do domínio do AD.
Meu arquivo smb.conf atual é:
[global]
workgroup = MYDOMAIN
realm = MYDOMAIN.ROOT
security = ADS
encrypt passwords = yes
idmap config *:backend =tdb
idmap config *:range = 70001-80000
idmap config MYDOMAIN:backend = rid
idmap config MYDOMAIN:range = 80000 - 1234567890123456
winbind trusted domains only =no
winbind enum users = yes
winbind enum groups = yes
domain master = no
local master = no
map untrusted to domain = Yes
dedicated keytab file = /etc/krb5.keytab
kerberos method = secrets and keytab
winbind refresh tickets = yes
dns proxy = no
log level = 10
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
server role = member server
obey pam restrictions = yes
unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
pam password change = yes
map to guest = bad user
template shell = /bin/bash
template homedir = /home/%D/%U
client use spnego = yes
read only = yes
create mask = 0700
directory mask = 0700
[rw]
path = /srv/rw
writable = yes
guest ok = no
force user = share
force group = share
valid users=
allow hosts =
deny hosts =
Como você pode ver, usei as opções "forçar usuário" e "forçar grupo" para que todos os usuários no domínio sejam mapeados para compartilhar: compartilhar.
Agora o modelo de segurança mudou, gostaria de mapear um usuário de domínio para compartilhar: compartilhar somente se o usuário do domínio estiver no grupo "shareWriteAccess" (domínio) e para ro: ro se não . Isso é possível?
O objetivo é permitir que alguns usuários de domínio tenham acesso de gravação no compartilhamento, enquanto outros terão acesso de leitura. Eu estava mais confiante em usar as permissões de arquivos do Linux para verificar isso, então pensei em mapear para 2 usuários diferentes do Linux. / srv / rw tem permissões 755 share: share, então os usuários de domínio mapeados como ro: ro são efetivamente "somente leitura". Estou aberto a outra solução embora