Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Общий по FreeBSD (http://forum.oszone.net/forumdisplay.php?f=10)
-   -   Пара вопросов по Samba (назначение прав) (http://forum.oszone.net/showthread.php?t=240033)

VictorSh 05-08-2012 20:00 1965178
Пара вопросов по Samba (назначение прав)
 
Здравствуйте,

подскажите как правильно назначить права в samba. Задача такая: есть таблица, в которой расписаны пользователи и папки, куда им можно ходить и что делать (чтение/запись), надо органзовать доступ в соответствии с таблицей.

В samba назначаются, наоборот, юзеры (группы), соответствующие определенной папке.
Что смущает, так это то, что в samba назначаются права доступа с помощью validusers и
права на запись с помощью readonly, есть доступ или нет для всех юзеров. А надо более гибкие права сделать.
Для каждой группы пользователей и конкретной папки свои права.

Какие вопросы возникли.

1. Как сделать при назначении прав папке, чтобы для одних юзеров можно было читать, а для других писать. Это будет делаться для целых групп.
2. Есть папка, которая настраивается в smb.conf, для которой определенному юзеру нельзя иметь доступ, но в ней есть вложенная папка, к которой он должен иметь доступ.
Как это прописать в smb.conf?
Есть папка projects и user1, которая расшарена
внутри есть KB. нужно сделать, чтобы юзер user1 имел доступ к KB и не имел к projects.

сейчас сделано так:
Код:
[projects]
comment = Общий ресурс
path = /data/samba/projects
valid users = user1,user2,user3,user4,...,userN
browseable = yes
guest ok = no
read only = no
directory mask = 0777
create mask = 0666
Догадываюсь, что здесь одними правами samba не обойдешься и придется использовать права Unix совместно. Или это можно как-то сделать правильно?

Хотя непонятно, как организовать доступ даже с использованием Unix прав, в такой ситуации. Есть три юзера: user1, user2, user3, каждый из них принадлежит группе group1, group2, group3, соответственно. Двум первым можно записывать в папку, а третьему нельзя.
Тогда в smb.conf надо написать в validusers всех юзеров (группы), в readonly=no,
а в права папки что писать? ведь нельзя же сделать, чтобы файлом владели две разные группы? а третий человек - это все остальные.

P.S. Немного погуглив, нашел это
http://forum.ru-board.com/topic.cgi?forum=65&topic=3815
http://ru.wikipedia.org/wiki/ACL
http://www.opennet.ru/base/sec/freebsd_acl.txt.html

То есть можно это сделать, только используя ACL? проясните, пожалуйста, ситуацию.

VictorSh 06-08-2012 04:38 1965295
а как в ACL поменять группу, которая определена в LDAP?
с обычными группами прокатывает, а вот с группами из OpenLDAP выдает

Код:
setfacl -m group:LDAPGroupName1:rwx /data/acldir
setfacl: group:LDAPGroupName1:rwx: Invalid argument
Если просто для юзеров из LDAP, то прокатывает.

UPD. модифицировал файл /etc/nsswitch
group: compat
на
group: files ldap

вроде заработало

VictorSh 06-08-2012 17:03 1965591
Так и не смог разобраться с назначением прав по умолчанию для папки setfacl -d

VictorSh 08-08-2012 14:23 1966830
Совсем непонятно, почему ls -l выводит одни права, а getfacl другие. Как видите несоответствие на уровне стандратных прав group.
У ls это rwx, а у getfacl r-x

Код:
/data # ls -l | grep newdir
drwxrwxr-x+  2 root        wheel          512  7 Aug 01:40 newdir

/data # getfacl newdir
# file: newdir
# owner: root
# group: wheel
user:: rwx
user:user1: rwx
group:: r-x
mask:: rwx
other:: r-x
уже три дня пытаюсь разобраться - перерыл кучу манов и доков по UNIX, Linux, FreeBSD - все пусто! помогите разобраться.


Время: 00:15.

Время: 00:15.
© OSzone.net 2001-