Автор Тема: Samba / Разграничение доступа [решено] (Прочитано 11915 раз)

berkut_174 · « : 24.04.2014 08:11:36 »

Всем привет!

Пытаюсь решить одну проблему, но так ничего и не получается, быть может мне кто-нибудь поможет её решить.

Нужно создать шару, в которой будет 6 личных папок для пользователей, то есть туда смогут писать только сами владельцы. В чужие папки они зайти не должны, только в свою.
Также есть 2-3 пользователя, которые могут лазить по всем папкам и при необходимости что-то добавлять удалять в эти папки.
Саму структуру папок они менять не должны.

Вот.
С созданием личных папок проблем не возникает, а вот с остальным как-то не очень...
На p6 вроде бы работал параметр 'admin users', на p7 почему-то он не работает... хотел через него решить.
Потом попытался через acl, также безуспешно, вроде дополнительные права присутствуют для пользователя, но он может удалить каталог/файл, но открыть или создать каталог/файл внутри этого каталога уже не может, странно как-то.

Кто может чего посоветовать в этой ситуации ?
Спасибо.

flint1975 · « **Ответ #1 :** 24.04.2014 10:46:47 »

Точно acl плюс umask
Подробности находил на etersoft FAQ или в мануалах.

sb · « **Ответ #2 :** 24.04.2014 11:29:55 »

Если это решение, то хорошо бы тут ссылки оставить, чтобы потом другие по граблям не ходили

berkut_174 · « **Ответ #3 :** 24.04.2014 11:56:27 »

Цитата: flint1975 от 24.04.2014 10:46:47

Точно acl плюс umask
Подробности находил на etersoft FAQ или в мануалах.

Так не пойдёт или я просто не понял...

Что выяснил: локально на сервере при установке дополнительных прав я получаю права rwx, но когда я подключаю шару через самбу на клиенте, то уже дополнительные права не учитываются, хотя на клиенте getfacl показывает, что у меня есть доступ, странно

Пробовал и через xterm, и через ФМ. Быть может в конфиг самбы нужно прописать что-то, чтобы acl работал ?

berkut_174 · « **Ответ #4 :** 24.04.2014 14:22:01 »

Немного схитрил и обошёлся без acl.
Только вот не могу найти, как запретить пользователям изменять права доступа на любой файл, даже свой. Тут acl был бы кстати... чтобы этим 2-3 пользователям дать необходимые права и их бы точно никто не убрал.

flint1975 · « **Ответ #5 :** 24.04.2014 14:38:40 »

Странно, но у меня не так!
ресурсы монтирую etermount
в самба-шаре безопасность share
пользователи создают файлы как буд-то они не по самбе, а непосредственно на компе. Соответственно acl работает.

berkut_174 · « **Ответ #6 :** 24.04.2014 14:58:32 »

Цитата: flint1975 от 24.04.2014 14:38:40

ресурсы монтирую etermount

С какими параметрами ?

Я через pam_mount монтирую.

berkut_174 · « **Ответ #7 :** 24.04.2014 17:09:37 »

Сейчас на Simply 7 проверил, создал шару и локально её же примонтировал в /mnt/share.
В итоге: в шару не могу писать, а в локальную папку пишет.

Что-то с монтированием самбы...

berkut_174 · « **Ответ #8 :** 24.04.2014 18:25:07 »

Самая обидное, что admin users не работает !
При чём, если создать файл, то пользователь у него присваивается root !!! почему же тогда я не могу творить в шаре что угодно, это какой-то прикол что ли

flint1975 · « **Ответ #9 :** 24.04.2014 21:13:57 »

Цитата: berkut_174 от 24.04.2014 14:58:32

С какими параметрами ?

умолчальные в /etc/etercifs.conf (заменил только имя пользователя и пароль поставил)

berkut_174 · « **Ответ #10 :** 24.04.2014 21:44:28 »

Цитата: flint1975 от 24.04.2014 14:38:40

etermount

Также не работает, отказано в доступе, хотя он есть !

Может я права неправильно расставляю или ещё чего ?..
У вас, как я понял, монтируется шара на тот же ПК, где запущена самба ?

flint1975 · « **Ответ #11 :** 24.04.2014 21:51:05 »

Цитата: berkut_174 от 24.04.2014 21:44:28

У вас, как я понял, монтируется шара на тот же ПК, где запущена самба ?

Да, только я не вижу пока разницы монтирую то по имени "//srv/1cdata" причем имя разрешается во внешний ip 192.168.0.10

berkut_174 · « **Ответ #12 :** 25.04.2014 08:04:04 »

Цитата: flint1975 от 24.04.2014 21:51:05

Да, только я не вижу пока разницы монтирую то по имени "//srv/1cdata" причем имя разрешается во внешний ip 192.168.0.10

Странно однако...

В общем все свои проблемы решил без acl.
Читать здесь http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/AccessControls.html (Table 16.3)
Для того чтобы пользователь не мог изменить права доступа на каталоги и файлы нужно выставить маску защиты.
Я у себя прописал так:

Код: [Выделить]

security mask = 0000
force security mode = 0664
directory security mask = 0000
force directory security mode = 0775

security mask и directory security mask - нули указывают, где защищать маску (я так понял); то есть, если было бы 0011, то защищались бы только права владельца.
force security mode и force directory security mode - выступает как шаблон, то есть на эту маску будут заменяться все каталоги и файлы.
Быть может я неправильно понял, т.к. с английским ни на ты, но вроде работает.
Готов выслушать правильную формулировку, если у меня получилась ошибочная.
Спасибо.

Ставлю [решено].

berkut_174 · « **Ответ #13 :** 25.04.2014 10:27:08 »

Цитата: flint1975 от 24.04.2014 21:13:57

умолчальные в /etc/etercifs.conf (заменил только имя пользователя и пароль поставил)

Ура! Заработало! Добавил опцию noperm.

flint1975 · « **Ответ #14 :** 25.04.2014 11:42:08 »

Так она там по умолчанию есть!

Форум сообщества
Альт Линукс