Использую Samba 3.2.3 на Fedora, но это не суть важно. На OpenSuSE думаю также все будет.
Как-то я был уверен, что понимаю как все это работает. Оказалось, что казалось.
Проблема первая.
Права доступа. Есть раздел (каталог) с набором папок. К каждой папке имеет доступ несколько человек, их состав и количество произвольно. Все, что находится внутри папки, полностью доступно (rwx) всем, кто имеет доступ к этой папке. Независимо от того, кто и что создал. Т.е. некоторый вариант шары ограниченного доступа. Вся информация о пользователях находится в LDAP (что нормально, так как эта же информация используется для Squid, Postfix, Cyrus-imapd и т.п.)
Вопрос. Как прописать подобную шару (каталог, содержащий подобные папки) в конфиге Samba? Как сделать так, чтобы можно было просто указать доступ для группы пользователей к каталогу, а не прописывать "поюзерно" (через setfacl, например). Сейчас у меня почему-то не хочет работать, если нужных пользователей включить в группу - файл созданный одним пользователем не виден другим, хотя они принадлежат одной группе. Пришлось каждому пользователю дать персональный доступ к каталогу, как я уже написал выше.
Проблема вторая.
Изменение паролей. Пользователи не могут поменять свои пароли. Надо чтобы пароли менялись синхронно и в Samba, и в LDAP. Сейчас этого не происходит. В логах ругань, что пароль не изменен и все. Пишет, что длина пароля меньше, чем надо или не выполнены другие условия. Хотя отдельно можно спокойно изменить и там, и там. При чем в Samba меняется спокойно через Windows-машину стандартным способом. Синхронно пароли возможно изменить только через LDAP Admin, через Windows синхронно не получается. Но этот способ сами понимаете... людей-то не 10 человек, каждому не поменяешь...
Вопрос. Как изменить конфиг, чтобы это заработало?
Вот кусок из конфига, который касается паролей (LDAP находится на этом же сервере):
encrypt passwords = yes
passdb backend = ldapsam
ldapsam:trusted = yes
ldapsam:editposix = yes
ldap passwd sync = yes
unix password sync = no