Автор Тема: Samba-3 в примерах. От простого к сложному  (Прочитано 73018 раз)

Оффлайн МИНЗДРАВ

  • Странник_
  • *
  • Сообщений: 3 045
  • ALWK8 х64 Branch sysd & server-light_1.9.3sysV noX
    • http://yx-kak.ru/linux.htm
4. Создаем владельца общих ресурсов и сами общие папки
Создадим такого пользователя в системе, имя пользователя sambauser,
# useradd -m sambauser -p samba1USER
Убедитесь, что товарищ добавился в систему:
cat /etc/passwd
sambauser:x:501:501::/home/sambauser:/bin/bash

Также убедитесь, что создан домашний каталог пользователя sambauser
# ls -l /home | grep sambauser
drwx------ 11 sambauser sambauser  4096 May 26 16:02 sambauser

Подскажите пожалуйста, можно пропустить, для подключения виндузовой машины по сети, этот шаг обязательный? Можно обойтись без создания нового пользователя в системе Linux (и как следствие создания нового домашнего каталога), чтобы с виндузовой машины виделись мои расшаренные директории, без него?

Оффлайн greyzy

  • Завсегдатай
  • *
  • Сообщений: 277
    • http://samba-doc.ru
Подскажите пожалуйста, можно пропустить, для подключения виндузовой машины по сети, этот шаг обязательный? Можно обойтись без создания нового пользователя в системе Linux (и как следствие создания нового домашнего каталога), чтобы с виндузовой машины виделись мои расшаренные директории, без него?
Например такой вариант имеет место жить
http://samba-doc.ru/samba3example/01prostoy.html#primer1.2.1

Оффлайн aen

  • alt linux team
  • ***
  • Сообщений: 2 452
Совершенно не понятно, зачем приводить пример про удалённое подключение? Как настраиваться локально? Локально сто пудово чаще люди настраиваются.

Люди -- да, а серверы -- нет.

Оффлайн XBM

  • Давно тут
  • **
  • Сообщений: 478
  • Бэкап - акт проявления трусости.
    • Email
Что-то не отвечает http://samba-doc.ru/samba3example/01prostoy.html#primer1.2.1, "502 Bad Gateway" пишет...
Присоединяюсь к просьбе МИНЗДРАВа - может ещё где есть статья про подключение к самбе без создания *unix пользователей?  Не могу найти ничего подобного.
"username map" это надо использовать?

Оффлайн greyzy

  • Завсегдатай
  • *
  • Сообщений: 277
    • http://samba-doc.ru
Что-то не отвечает http://samba-doc.ru/samba3example/01prostoy.html#primer1.2.1, "502 Bad Gateway" пишет...
Присоединяюсь к просьбе МИНЗДРАВа - может ещё где есть статья про подключение к самбе без создания *unix пользователей?  Не могу найти ничего подобного.
"username map" это надо использовать?
Вчера только хостинг заработал. В ссылке такой код:
#Global Parameters
[global]
workgroup = MIDEARTH
security = SHARE
[Plans]
path = / plans
read only = Yes
guest ok = Yes
чтобы можно было записывать, надо поставить read only = No

Я только не пойму, что за проблема создать этого одного пользователя, когда этим методом заходишь на общие ресурсы, пароля вводить не надо будет все равно.

Оффлайн XBM

  • Давно тут
  • **
  • Сообщений: 478
  • Бэкап - акт проявления трусости.
    • Email
Спасибо за код, но это не то что ожидал увидеть.
Одного создать - не проблема. И двух-трёх тоже. А вот 10-20-и более - уже не хочется засорять /home (сервер- файлопомойка), а разграничивать по пользователям шары надо.

Общие ресурсы создавать умею.
Ограничение доступа с созданием *unix пользователя тоже пройденный этап.
Теперь вот нучиться бы обходиться без создания линуксового пользователя.
А в перспективе фигура высшего пилотажа - LDAP и подключение к win-домену.
« Последнее редактирование: 01.09.2010 09:35:39 от XBM »

Оффлайн greyzy

  • Завсегдатай
  • *
  • Сообщений: 277
    • http://samba-doc.ru
Одного создать - не проблема. И двух-трёх тоже. А вот 10-20-и более - уже не хочется засорять /home (сервер- файлопомойка), а разграничивать по пользователям шары надо.

Теперь вот нучиться бы обходиться без создания линуксового пользователя.
А в перспективе фигура высшего пилотажа - LDAP и подключение к win-домену.
Создал нового юзера, размер его домашнего каталога 156 Кб, зашел, чтобы загрузился раб. стол, стал 1,4 Мб (а для общих ресурсов заходить на сервер локально не нужно), так что вам на 20 и более юзеров гигового хомяка вполне хватит.

Без линуксового никак нельзя, Samba требует при создании своего юзера существование линукс-аккаунта. (а не дает, потому что общими шарами-то рулит Самба, но права доступа назначаются на основании прав в линукс, а для этого нужна учетка в линуксе (и привязання к нему учетка самбы))

Для полключения к win-домену LDAP не нужен.
« Последнее редактирование: 01.09.2010 11:58:12 от greyzy »

Оффлайн XBM

  • Давно тут
  • **
  • Сообщений: 478
  • Бэкап - акт проявления трусости.
    • Email
Цитировать
Без линуксового никак нельзя, Samba требует при создании своего юзера существование линукс-аккаунта. (а не дает, потому что общими шарами-то рулит Самба, но права доступа назначаются на основании прав в линукс, а для этого нужна учетка в линуксе (и привязання к нему учетка самбы))
Это понятно. Ну и пусть будет одна учетка. Всё равно приходится использовать парметр "force user", если несколько пользователей ходят на одну шару.
Я не понимаю, что мешает к одной учетке в линуксе привязать несколько учеток самбы?

Оффлайн greyzy

  • Завсегдатай
  • *
  • Сообщений: 277
    • http://samba-doc.ru
Цитировать
Без линуксового никак нельзя, Samba требует при создании своего юзера существование линукс-аккаунта. (а не дает, потому что общими шарами-то рулит Самба, но права доступа назначаются на основании прав в линукс, а для этого нужна учетка в линуксе (и привязання к нему учетка самбы))
Это понятно. Ну и пусть будет одна учетка. Всё равно приходится использовать парметр "force user", если несколько пользователей ходят на одну шару.
Я не понимаю, что мешает к одной учетке в линуксе привязать несколько учеток самбы?
Не предусмотрено, потому-что еще раз: samba-user привязан к linux-user'у. Допустим у linux-user'а есть определенные права доступа на папку /sharefolder, вы эту папку расшарили через самбу. Смысл привязывать несколько учеток самба на одного юзера пропадает - у всех привязанных самба-учеток были бы одни и те же права на доступ к /sharefolder, что у linux-user'а, поэтому разделить доступ для этих пользователей у вас не получится
« Последнее редактирование: 02.09.2010 04:38:19 от greyzy »

Оффлайн XBM

  • Давно тут
  • **
  • Сообщений: 478
  • Бэкап - акт проявления трусости.
    • Email
Я не понимаю, что мешает к одной учетке в линуксе привязать несколько учеток самбы?
Не предусмотрено, потому-что еще раз: samba-user привязан к linux-user'у. Допустим у linux-user'а есть определенные права доступа на папку /sharefolder, вы эту папку расшарили через самбу. Смысл привязывать несколько учеток самба на одного юзера пропадает - у всех привязанных самба-учеток были бы одни и те же права на доступ к /sharefolder, что у linux-user'а, поэтому разделить доступ для этих пользователей у вас не получится
Тогда я не вижу смысла в существовании samba-user.
Есть linux-user, указали бы, в какие шАры он может писать-читать и всё. А самба следила бы, что linux-vasya и linux-petya могут ходить на шару otdel, а linux-olya - нет.
Но это уже риторика.
Спасибо за терпеливое разъяснение.

Оффлайн greyzy

  • Завсегдатай
  • *
  • Сообщений: 277
    • http://samba-doc.ru
Тогда я не вижу смысла в существовании samba-user.
Есть linux-user, указали бы, в какие шАры он может писать-читать и всё. А самба следила бы, что linux-vasya и linux-petya могут ходить на шару otdel, а linux-olya - нет.
Ну дык так и делается, самба следит кто-куда ходит, но привязав linux-vasya к samba-vasya, linux-petya к samba-petya, linux-olya к samba-olya, есть linux-group otdelstaff, в нее входят vasya и petya, а olya нет, и на папку otdel доступ только группе otdelstaff, самба все это проверяет и олю не пускает, но проверяет по линуксовым и привязанным к ним самбовым учеткам и принадлежности пользователей к той или иной линуксовой группе

Оффлайн XBM

  • Давно тут
  • **
  • Сообщений: 478
  • Бэкап - акт проявления трусости.
    • Email
Ну дык так и делается, самба следит кто-куда ходит, но привязав linux-vasya к samba-vasya, linux-petya к samba-petya, linux-olya к samba-olya, есть linux-group otdelstaff, в нее входят vasya и petya, а olya нет, и на папку otdel доступ только группе otdelstaff, самба все это проверяет и олю не пускает, но проверяет по линуксовым и привязанным к ним самбовым учеткам и принадлежности пользователей к той или иной линуксовой группе
Хорошо, тогда пример:
Если самбовская учетка пускает, а линуксовая - нет - то и не войдет Olya в otdel.
Если самбовская учетка не пускает, и линуксовая - нет - опять не войдет Olya в otdel.
Т.е. самбовская не влияет в этих двух случаях.

Если самбовская учетка не должна пускать, а линуксовая пускает - то
параметр "valid users= linux-vasya, linux-petya" не даст linux-olya зайти в шару otdel.   

Я опять не вижу необходимости в самба-учетках.

Оффлайн greyzy

  • Завсегдатай
  • *
  • Сообщений: 277
    • http://samba-doc.ru
Хорошо, тогда пример:
Если самбовская учетка пускает, а линуксовая - нет - то и не войдет Olya в otdel.
Если самбовская учетка не пускает, и линуксовая - нет - опять не войдет Olya в otdel.
Т.е. самбовская не влияет в этих двух случаях.

Samba-учетка это как бы... ссылка на линукс-учетку, что ли. Как в виндах - открываем свойства папки и на вкладке "Безопасность" с выбором пользователей - это как линукс-учетки, и есть вкладка "Общий доступ" - там пользователи те же, что и в "Безопасность" - и это как самба-учетки. Вы можете оле дать все права на папку в линукс (в винде поставить полный доступ в "Безопасность"), а в самбе ей доступ к общей папке закрыть (в винде в "общем доступе" не включать ее в юзеров, которым позволен доступ) и оля ничего не сможет сделать.

И обратная ситуация - вы можете в линукс лишить олю доступа к папке в самой ос (в винде в "безопасности" изьять олю из пользователей, которым дан доступ), а в самбе записать ее в валидные юзеры, write ок и тп (в винде дать полный доступ в списке вкладки "Общий доступ"), но на шару оля хрен войдет, так как локально у нее прав нету.

Чтобы оля могла ходить в шару, оле надо в линукс дать разрешения на папку (в винде в "Безопасность"), и в самба дать доступ (в винде "Общий доступ").

Самба отвечает за получение доступа к шаре. Но доступ к папке, которая является шарой, должен быть у пользователя и локально. Самба сверяет свою "ссылку" на олю, смотрит в какой группе оля, можно ли оле в шару, если можно - пускает, но тут пустить, это как бы не обязательно войти - на входе еще проверяют, можно ли оле просматривать папку локально.

Оффлайн XBM

  • Давно тут
  • **
  • Сообщений: 478
  • Бэкап - акт проявления трусости.
    • Email
Всё расжёвано дальше некуда. Ещё раз спасибо.

Какая-то паранойя с правами получается.  ???

Оффлайн Карлсон

  • Завсегдатай
  • *
  • Сообщений: 1 699
Какая-то паранойя с правами получается.  ???

Если скрещивать ежа и ужа (Линукс и изначально кривой виндовый сетевой сервис), то далеко не всегда выйдет колючая проволока (т.е. что-то полезное, удобное и логичное).