Даже в случае использования FreeIPA для авторизации все равно должен использоваться netlogon. Неуязвима она только в случае, если это просто рядовой ПК с шарой. А зачем нужна шара на SMB? Даже винда прекрасно NFS и WebDAV понимает.

Я слышал, что далеко не прекрасно. В самбе можно удобно, наример, вести логи операций с файлами, а cifs хорошо работает, не хуже nfs

у cifs есть неоспоримое преимущество - разделение прав и ролей, у nfs тут как-то очень проблемно

У меня на самбе с функциями шары, честь ПК с Windows после записи файла в каталог с guest ok = true не могут его считать. По логам видно, что запись идет с правами авторизованного юзера, а считывание с правами гостя. И косяк этот на стороне винды.
Плюс вариации протокола SMB. Включаешь поддержку протокола SMBv1 на клиенте, так отваливается доступ к ресурсам SMBv2 (некоторые промышленные МФУ). Причем под виндой.

Стандартные Posix-права.
А  у SMB есть только одна хорошая вешь - GPO.

не, POSIX-ом не раскрутишь RBAC и HBAC

Это вы самбу коряво настроили, скорее всего

Селинуксовые метки по nfs поддерживаются, а в ядро 5.9 завезли поддержку user xattrs  в нфс

а 5.9 же на всех виндах и линксах

Тогда почему часть клиентов нормально живут, а другая часть имеет проблемы? Клиенты одинаковые - Windows 10. Только кое где гость отключен и гостевой доступ тоже. Там, где отключено - проблем нет.

так отключи везде гостя-то, нафиг он нужен, так-то

На стационарках отключил. А на лэптопах, которые юзеры забирают с собой, подобное отключение грозит тем, что у них дома не будет доступа к сетевым шарам. (На вопрос, почему забирают, есть ответ: если бы не было разрешено их забирать, то купили бы им десктопы.) Проблем нет только у тех, у кого на Rosa Fresh на лэптопе .

Тогда RSYNC.

ну это как гвозди микроскопом забивать... вообще разные вещи.... для синка я могу и syncthing поднять, но толку от этого немного

Ну, если медленней — это не хуже, то ок.

Много лет держал хомяки на нфс — все права и допуски были именно такими, какими от них требовалось.

Более того, виндошары раздавал из контейнера с примонтированными в него нфс-шарами — тоже с нужными правами/допусками.
Причём, это были одни и те же шары что для виндоюзеров, что для никсоЕдов, с разделением как надо.

Например, в шару \\server\group\ и в nfs:/server/group могли заходить только юзера из одной лдап-группы.

ну ок, а как ты Васе прописывал, мол Вася вот тебе права писать и читать в эту директорию, а Маша вот тебе только чтение?
А также Марина, ты можешь зайти в папку с этих адресов, а Миша - только с этих...

Не медленный нынче