проблема с самба!

[Максим1827]

Помогите пожалуйста разобраться!
мне предложили вариант настройки самба для организации прав доступа, я настроил, но почему то работает не правильно вся система!
меня интересует решение такой задачи
есть сервер в школе
на нем нужно создать 3 папки: учителя ученики и администрация
ученики могут заходить в свою папку копировать какие то данные сохранять и изменять их и так далее, но при этом не могут попасть в две другие папки
учителя могут делать со своей папкой тоже самое что ученики со своей папкой, но при этом учителя могут попасть в папку учеников и иметь к ней полный доступ
а директор может заходить во все 3 папки и иметь к ним полный доступ!
помогите организовать!очень нужно

[berkut_174]

Проверяйте:

Код: [Выделить]

[global]
  netbios name = server
  server string = school server
  security = user
  workgroup = SCHOOL
  map to guest = bad user
  guest acount = nobody

[pupil]
  path = path_to_dir
  read only = no
  guest only = yes
  create mode = 0666
  force create mode = 0666
  directory mode = 0777
  browseable = yes

[teachers]
  path = path_to_dir
  valid users = @teachers
  read only = no
  force group = teachers
  create mode = 0660
  force create mode = 0660
  directory mode = 0770

[director]
  path = path_to_dir
  valid users = director
  read only = no
Необходимо создать группу teachers и добавить в неё всех учителей и директора!
Все шары расположены отдельно, не в подпапках.
Шара для учеников доступна в сетевом окружении, остальные шары не видны в списке общих ресурсов.
Удачи!

[Максим1827]

спасибо за совет!а как тогда попасть в те шары, которые видно не будет?
и получается мне нужно будет в строчке path = указать путь к папке и ёё имя, так?
я конкретизирую первый вопрос, т.е. если я захочу зайти от директора и увидеть все папки и иметь полный доступ к ним как это сделать?
я так понял что папка ученики будет видна всегда, а две другие нет, как мне попасть в две другие папки?

[berkut_174]

и получается мне нужно будет в строчке path = указать путь к папке и ёё имя, так?

Да, например: /srv/pupil или /srv/teachers.

а как тогда попасть в те шары, которые видно не будет?

Я предполагал, что будете их монтировать.
В сетевом окружении шары не будут отображаться, но обратиться то к ним можно :) Просто кто не знает имени шары, тот даже не сможет попытаться к ней прицепиться.

если я захочу зайти от директора и увидеть все папки и иметь полный доступ к ним как это сделать?

Каждая шара монтируется отдельно!
А вам как надо ?

Обратиться к любой шаре можно так:
из Линукс smb://server/pupil
из Windows \\server\pupil

[Максим1827]

а мне бы хотелось чтобы было так, ну к примеру, т.е. есть 3  папочки и они например имеют список пользователей и эти пользователи знают к этой папочке пароль и могут заходить, а те пользователи которых нет в списке, даже если узнают пароль не смогут попасть в эту папку, вот так, примерно!
а вот монтирование тех папок что не видно будет осуществляться через win командную строку?

[berkut_174]

а вот монтирование тех папок что не видно будет осуществляться через win командную строку?

В Windows можно подключить сетевой диск.

А у вас домен поднят на сервере ? Какой сервер 5 или 6 ?
Надо подумать...

[Максим1827]

нет, домен не поднят! сервер 5
дело в том, что если бы я делал для себя я бы согласился с вашей версией, но я это делаю для школы, а там же учителя, они ничего не понимают в этом!подскажите как можно еще решить такую задачу

[berkut_174]

Получается, вам нужно, чтобы шары были видны в сетевом окружении ?
Нет ничего проще!
Достаточно к шаре дописать browseable = yes.

Тогда предлагаю сделать вот как.
Раз уж вам нужно, чтобы «только пользователи из списка», предлагаю создать для каждой шары свою группу — кто состоит в группе имеет доступ к шаре, кто не состоит — не имеет.
Три группы: pupil, teachers, adm.
Создание папок:

Код: [Выделить]

mkdir /srv/pupil
mkdir /srv/teachers
mkdir /srv/admПрава на папки можно такие оставить.
Конфиг тогда примет вид:

Код: [Выделить]

[global]
  netbios name = server
  server string = school server
  security = user
  workgroup = SCHOOL

[pupil]
  path = /srv/pupil
  valid users = @pupil
  read only = no
  force group = pupil
  create mode = 0660
  force create mode = 0660
  directory mode = 0770
  browseable = yes

[teachers]
  path = /srv/teachers
  valid users = @teachers
  read only = no
  force group = teachers
  create mode = 0660
  force create mode = 0660
  directory mode = 0770
  browseable = yes

[adm]
  path = /srv/adm
  valid users = @adm
  read only = no
  force group = adm
  create mode = 0660
  force create mode = 0660
  directory mode = 0770
  browseable = yes
Исходя из этого, пользователей, которые являются учащимися необходимо добавить в группу pupil.
Учителей добавить в группы pupil и teachers.
Администрацию — pupil, teachers и adm.

В Windows почти с 99% гарантией могу сказать, что через сетевое окружение сетевые папки будут корректно работать, можно даже не подключать сетевой диск.
А вот в Линукс с виртуальными (не подмонтированными) шарами могут быть проблемы. Тогда решением будет: примонтировать шару — через fstab или pam_mount.

Может кто-нибудь предложит лучший вариант ?
Я у себя использую примерно такого рода шары, монтирую через pam_mount, но у меня поднят домен на базе LDAP. Монтирование происходит на рабочий стол пользователя в папку Network.

[Максим1827]

спасибо огромное за советы!все предельно понятно, на данный момент, через пару часов попробую смоделировать у себя дома это все!единственный вопрос, а какой командой пользователей добавлять в список и как создать сам список?

[berkut_174]

единственный вопрос, а какой командой пользователей добавлять в список и как создать сам список?

Создание пользователей и групп точно также, как здесь: http://forum.altlinux.org/index.php/topic,7625.0.html

Пример для создания пользователя включенного в группу pupil:

Код: [Выделить]

groupadd pupil
useradd -m -G pupil -c "Иван Иваныч" ivan
passwd ivan
smbpasswd -a ivan

[Максим1827]

понял!благодарю!сейчас буду пробовать!о результатах сообщу!

[Максим1827]

опять что то не получается.в общем.
сделал все настройки линукса, самба вроде не ругается, запустилась нормально со всеми настройками, все папки созданы, доступ прописан, в win машине вижу все папки которые создал.
создал одного пользователя в группу pupil
хочу зайти теперь в папку pupil, нажимаю дважды на иконке выходит окно
"Подключение к Server"
строка пользователь не активна но там написано Server\Гость
в строке пароль ввожу созданный мною пароль, но к сожалению ничего не происходит
что можно посмотреть?

[berkut_174]

что можно посмотреть?

Покажите весь smb.conf, может где-то попросту ошибку допустили.
Вероятно, где-то оставили guest only.

[fce]

Пробовал такую структуру (сетевой каталог учитель/ученик/директор)и что-то не то.
Если с отдельными паролями, файлы в сетевом каталоге хранить можно, но что-то кому-то перекинуть - одни проблемы с правами доступа, плюс встречался с ситуацией, когда удаляли каталоги друг друга сами учителя.
С монтированием сетевых дисков в ALT5 была проблема в виде очень долго выключающегося компьютера, что у меня совершенно не устраивало. Да и сама настройка монтирования тоже не из простых, особенно когда компьютеров и ОС over XX...
С доступом по IP проще, но не всегда применимо, например когда с одного компьютера в сеть выходят и ученик и учитель.
Если же ученики выходят в сеть только из компьютерного класса, тогда очень просто настроить доступ по ip.

Как мне кажется тут больше почта подходит + сетевые ресурсы+ftp.
Возможности сортировки и упорядочивания в почте на порядок выше.
При наличии веб-интерфейса доступ к почте будет по всей школе.
Добавьте возможность рассылки и пересылки сообщений, легкая сортировка сообщений, и можно написать пояснительную записку к файлу, плюс изначально файлы не в общем доступе.
Вдобавок адресная книга и ежедневник.
Хотите расшарить файлы для всех, тогда просто копируйте их на сетевой ресурс.
В качестве веб-интерфейса можно использовать Roundcube, или e-mail клиент из FengOffice.
На компьютерах учителей почтовые клиенты ОС (тут есть с чего выбрать)
ftp - использовать для редко обновляющихся и открытых документов и файлов, или для файлов, требующих защиту от записи ( например антивирусных баз)
Плюс подхода почтовый ящик для каждого ещё и в том, что ученики не копируют работы друг друга, как это происходит с хранением в сетевых каталогах. Хотя тут правильнее использовать Moodle...

Вопрос интересный и упирается он не столько в Samba, сколько в организацию работы с сетью в школе.
По поводу отношения и знания  учителей, тут нужны меры стимулирования и обучение, и соответственно многое зависит от директора и его заместителей.



 

[Максим1827]

Все получилось!соединил winмашины через linserver а теперь вопрос, как в эту сеть добавить lin машины?