Задача стоит следующая.
Необходимо, чтобы пользователи user1, user2, user3 могли писать в шару, редактировать и открывать только свои файлы, чужие файлы не могли даже прочитать и не могли менять права доступа на свои файлы и папки. Пользователь admin1 должен иметь доступ ко всем файлам в шаре, писать, удалять, короче быть root'ом.
Все пользователи состоят в группе share. Пользователь admin1 состоит в группе admins.

Делаю шару:
[share]
path = /srv/share
read only = No
force user = admin1
force group = %G
admin users = @admins
create mask = 0660
force create mask = 0660
directory mask = 0770 

# chmod 1770 /srv/share
# ls -l /srv
drwxrwx--T 2 root share 4096 Oct 29 20:51 share

Монтирую шару через pam_mount, с опцией sec=krb5.

Захожу под пользователем user1 создаю файл в шаре user1.txt
# ls -l /srv/share
-rw-rw--- 1 admin1 user1 0 Oct 29 21:00 user1.txt
Но изменить права доступа на этот файл по-прежнему могу!
Более того, его могут прочесть остальные пользователи.

Делаю по-другому. Меняю конфиг самбы так (убираю форсирование группы и пользователя):
[share]
path = /srv/share
read only = No
admin users = @admins
create mask = 0660
force create mask = 0660
directory mask = 0770

Опять создаю файл в шаре под пользователем user1
# ls -l /srv/share
-rw-rw--- 1 user1 user1 0 Oct 29 21:00 user1.txt
Проверяю, что права могу поменять через ФМ (Права доступа).

После этого вручную на сервере меняю права:
# chown admin1 /srv/share/user1.txt
# ls -l /srv/share
-rw-rw--- 1 admin1 user1 0 Oct 29 21:00 user1.txt
Пробую теперь сменить права доступа на файл и не могу этого сделать.
То что надо.

Получается самба как по особенному передает права доступа, некорректно.
Наверно, это ошибка.
Проверено на разных дистрах, на p5/p6.
Спасибо.

PS. Не нашел другого способа запретить владельцу менять права доступа.
Может кто подскажет как по-другому можно разрулить права в шаре.