ACL и MS Office 2003

sergeyiv · November 9, 2009, 8:33pm

Посоветуйте кто может :?
У меня в самба на CDS поднята по мануалу на здешнем вики. Все работает замечательно и предсказуемо - кроме MS Office 2003.
А проблема в записи, или создании файлов в MS Office. Если, будь-то эксплорер, far, OpenOffice или любая другая программа файл создает согласно ACL:

getfacl Lena/
 # file: Lena/
 # owner: root
 # group: Administrators
user::rwx
group::r-x
group:it:rwx
group:manager:rwx
group:bookkeeper:rwx
mask::rwx
other::rwx
default:user::rwx
default:group::r-x
default:group:it:rwx
default:group:manager:rwx
default:group:bookkeeper:rwx
default:mask::rwx
default:other::r-x

То созданный файл (скажем бухгалтером) получается:

getfacl Test.txt
 # file: Test.txt
 # owner: marina
 # group: bookkeeper
user::rw-
group::r-x
group:it:rwx
group:manager:rwx
group:bookkeeper:rwx
mask::rwx
other::r--

То есть, то что и надо!

НО! Если в Екселе или Ворде от MS Office создать или сохранить файл, то его атрибуты становятся вот такими:

getfacl Переписка\ с\ Инотеком.rtf 
 # file: \320\237\320\265\321\200\320\265\320\277\320\270\321\201\320\272\320\260\040\321\201\040\320\230\320\275\320\276\321\202\320\265\320\272\320\276\320\274.rtf
 # owner: marina
 # group: bookkeeper
user::rw-
group::r--
group:it:rwx
group:manager:rwx
mask::rwx
other::r--

То есть, атрибут бухгалтерской группы

group:bookkeeper:rwx

напрочь отсутствует! В результате, файл может править только хозяин и другие разрешенные группы, но не члены группы в которой хозяин файла :shock:
Чтобы файл можно было читать членам группы хозяина, приходится сохранять файл под другим именем, стерать старый, и в эксплорере переправлять на нужное имя, тогда атрибуты становятся на место!

Вот параметры хозяина:

cl-info -U marina samba
Информация о пользователе marina для сервиса Samba
+-----------------------+-------------------------------------------------------+
| Поле                  | Значение                                              |
+-----------------------+-------------------------------------------------------+
| Логин                 | marina                                                |
| Полное имя            | Иванова Марина                                     |
| Заблокирован          | Нет                                                   |
| Пароль                | Да                                                    |
| Изменение пароля      | 21.10.2009                                            |
| Первичная группа      | bookkeeper                                            |
| Дополнительные группы | bookkeeper                                            |
|                       | System Operators                                      |
|                       | Print Operators                                       |
|                       | Domain Users                                          |
|                       | Опытные пользователи                                  |
| Домашняя директория   | /var/calculate/server-data/samba/home/marina          |
| Общая директория      | /var/calculate/server-data/samba/share                |
| Linux профиль         | /var/calculate/server-data/samba/profiles/unix/marina |
| Windows профиль       | /var/calculate/server-data/samba/profiles/win/marina  |
| Windows logon         | /var/calculate/server-data/samba/netlogon/marina      |
+-----------------------+-------------------------------------------------------+

Люди добрые, может кто встречался с таким маразмом от микрософта? Помогите, не стесняйтесь, даже не знаю куда копать

sergeyiv · November 10, 2009, 1:43pm

Отвечаю сам на свой вопрос:
Проблема была в том, что у меня:

| Первичная группа      | bookkeeper                                            |
| Дополнительные группы | bookkeeper                                            |
|                       | System Operators                                      |
|                       | Print Operators                                       |
|                       | Domain Users

Доменная группа bookkeeper была занесена как в Primare (первичную) так и во вторичную группу. Я не знаю что за тараканы сидят в головах создателей MS - Offise, но по какой-то непонятной причине, он не желает вообще воспринимать Primare группу.
Соответственно, при занесении пользователя, нельзя созданную для разруливан6ия ACL группу использовать как Primare!

Так нельзя:
cl-usermod -G ‘Domain Users’ -g ‘bookkeeper’ samba

А так можно:
cl-usermod -g ‘Domain Users’ -G ‘bookkeeper’ samba

getfacl Test.doc 
 # file: Test.doc
 # owner: test
 # group: Domain\040Users
user::rw-
group::r--
group:it:rwx
group:manager:rwx
group:logist:rwx
group:bookkeeper:rwx
mask::rwx
other::r--

Еще попутно была выявлена другая проблемка.
Если попытаться редактирывать доступ в винде, то созданные доменные группы, все до одной, там видятся как “Calculate group”! И не важно как ее назвать.
Это происходит изза того, что, программа для добавления пользователей - cl-groupadd - добавляет только название группы, а в поле description и displayName - она добавляет “Calculate group”!
При этом, с помощью cl-groupmod - можно исправить только поле displayName, но от этого нет никакого толку, потому, что винда показывает только содержание - displayName!
Чтобы в виде были видны название созданных доменных груп - я в Luma поправил поля displayName.

Надеюсь, что в новых программах cl-group* будут учтены эти ньюансы.

discobot · November 11, 2009, 1:25pm

При создании Samba группы обязательно нужно указывать опцию -c

cl-groupadd -c "Менеджер" manager samba

тогда будет полная совместимость с WIndows
При изменениии комментария к Samba группе, действительно не меняется аттрибут displayName эта ошибка исправлена в пакете calculate-server-2.1.5-r1