mount.cifs не корректно воспринимает (не поддерживает) ACL на клиентской части и действует по дискреционному разграничению (которое искажается маской ACL).
Получая отказ по дискреционному разграничению на клиенте, проверка не доходит до серверной части.
Для достижения проверки ACL и дискреционного разграничения на серверной части, используйте параметр noperm, позволяющий игнорировать дискреционную модель на клиенте но не на сервере.
mount -t cifs //сервер/ресурс /точка_монтирования [-o noperm, опции]
или в fstab:
//fileserver1.org.net/share1 /media/share1 cifs user,rw,noauto,noperm,iocharset=utf8,soft 0 0
При такой модели, каталог должен монтироваться в /media/share1 и быть доступным только этому пользователю.
Если каталог не монтируется в сессии отличной от "несекретно", то проверьте мандатное разграничение доступа на общем каталоге:
pdp-ls -Md /share1
Для монтирования каталога под уровнем, потребуется назначить мандатный уровень в соответствии с пунктом "4. МАНДАТНОЕ РАЗГРАНИЧЕНИЕ ДОСТУПА" документа "Руководство по КСЗ. Часть 1 РУСБ.10015-01 97 01-1" поставляемого совместно с операционной системой специального назначения "Astra Linux Special Edition".
Пример:
pdpl-file 3:0:0:ccnr /share1