Конфликт прав OpenLdap групп на один ресурс

[parser82]

Как для OpenLdap - пользователя задаются права? Мои размышления таковы: OpenLdap - пользователь завязан на Samba, в которой, в свою очередь (если я правильно понял), ситема задания прав на сетевой ресурс отлична от обычной линуксовой (хозяин, группа хозяев, все остальные).
Пример 1. В домене OpenLdap ldap-пользователь может быть в 2х группах. Расшариваемый ресурс (папка, выкладываемая в сеть) может быть (если я правильно понял) разрешена некоторой группе и запрещена остальным (ну, или второй группе).
Тогда для пользователя получается конфликт прав: он и в той группе, которой разрешено, и относится ко всем остальным. Как система делает вывод о том, можно или нет?
Пример 2. Группе, в которой пользователь - можно, а самому пользователю - нет. Снова для пользователя получается конфликт прав. Как система делает вывод о том, можно или нет?

P.S. В Windows есть два уровня прав:  1. Собственные (как-то так) 2. Наследованные (права на ресурс для групп, в которые входит пользователь)
Собственные права всегда "побеждают": если они заданы, то наследованные игнорируются. Для случая, описанного в примере 1 (для пользователя через группы, в которые он входит, определено два набора наследованных прав), "побеждать" будет всегда запрет.

А как дела обстоят в домене OpenLdap?
Прошу прощения, если говорю глупости ("ну не виноватая я..., он сам...")
Жду поправок и мнений от почтенных джентелеменов...

[zerg]

(хозяин, группа хозяев, все остальные).

Возможно, вам станет понятнее, если переформулировать корректнее: владелец, группа пользователей, все(включая группу и пользователя "владелец").
Так же попробуйте не употреблять "можно" и "нельзя", а использовать "есть разрешение" и "нет разрешения".

[ruslandh]

Расшариваемый ресурс (папка, выкладываемая в сеть) может быть (если я правильно понял) разрешена некоторой группе и запрещена остальным (ну, или второй группе).
Тогда для пользователя получается конфликт прав: он и в той группе, которой разрешено, и относится ко всем остальным. Как система делает вывод о том, можно или нет?

Если он хозяин, то смотрим права хозяина, если он в группе , то смотрим права группы, если он не хозяин, и не в группе, то смотрим права для остальных.
Причём именно в этом порядке. Если я хозяин, то мне пофигу права группы, если я в группе, меня не касаюся права остальных.

[ruslandh]

Группе, в которой пользователь - можно, а самому пользователю - нет. Снова для пользователя получается конфликт прав

Обычно так не бывает, но раз он состоит в этой группе, то ему можно,

[berkut_174]

Добавлю, для samba, обычно, кому что можно, а что нельзя настраивается в smb.conf.

Изучить все параметры можно здесь http://smb-conf.ru/

[parser82]

1. В данном случае в роли лучшего психотерапевта (я понимаю, к психотерапевту - не на этот форум, но настою на своем) хотелось бы признать ruslandh. Спасибо.
2. Господин zerg таким макаром напротив может всех подзапутать. Остальные, лучше считать: это ВСЕ минус множество {хозяин(владелец);группа хозяев (владельцев)}. Если я не прав  - прошу тут же бросить в меня камень. А то других могу научить. Буду только признателен. Более того, скорее нуждаюсь в этом...
И группа хозяев: можно ли считать, что это множество принципалов содержит самого хозяина? Мне кажется ЭТО множество, куда входит хозяин, но без него.
Самое интересное, это точно (могу указать конкретные ссылки http://cs.mipt.ru/docs/courses/osstud/01/prep/sem1-2.htm#s0117), что группой владельцев может быть группа пользователей,  куда сам владелец не входит вообще.
3. Что я начал понимать: для работы домена на школьном сервере наряду с OpenLdap-пользователем к нему "впару" заводятся аналогичные Samba-пользователь и локальный пользователь сервера.
  - те разрешения OpenLdap-пользователю, что задаются на уровне файловой системы командами Chown, chmod, В СООТВЕТСТВИИ С ИСПОЛЬЗУЕМОЙ ТЕХНОЛОГИЕЙ (ну, вот такая она, и все; почему так - не нам судить) ПРОПИСЫВАЮТСЯ ДЛЯ ЛОКАЛЬНОГО ПОЛЬЗОВАТЕЛЯ: это аналог разрешений вкладки БЕЗОПАСНОСТЬ окна свойств в Windows;
  - те разрешения, что задаются OpenLdap-пользователю на уровне конфига Samba, являются аналогом разрешений вкладки ДОСТУП окна свойств папки Windows;

[parser82]

4. За ответ по уровню файловой системы (меня так учили: разграничение прав уровня файловой системы и уровня сетевого доступа) - низкий поклон еще раз. Но-о-о... Вопрос был про права на уровне Samba (уровень сетевого доступа).
Понятно, что мне была любезно скинута ссылка. Но надеюсь пообщаться по этому поводу с людьми. Может у кого-то будут советы и предложения по ситуации:

Пример 1. В домене OpenLdap ldap-пользователь может быть в 2х группах. Расшариваемый ресурс (папка, выкладываемая в сеть) может быть (если я правильно понял) разрешена некоторой группе и запрещена остальным (ну, или второй группе).
Тогда для пользователя получается конфликт прав: он и в той группе, которой разрешено, и относится ко всем остальным. Как система делает вывод о том, можно или нет?
Пример 2. Группе, в которой пользователь - можно, а самому пользователю - нет. Снова для пользователя получается конфликт прав. Как система делает вывод о том, можно или нет?

У кого какие мысли? Хочу понять все досконально...
Может кто-то вообще скажет, что вопрос некорректен. Параллельно читаю материал...

[parser82]

Кстати, шару хочу отдельную каждому пользователю, но не на компьютере с OpenLdap-сервером, а на сервачке с NAS, основанном на debian. Там есть поддержка OpenLdap-домена.
Поэтому
1) вариант шары в документах пользователя не рассматривается;
2) лезу в детали, и так глубоко; интересуюсь механизмами.
Обязательно дойду до элементов настройки всей кухни через командную строку...
Надеюсь услышать хоть какие-то предложения.
Прошу прощения, если надоел. Не хочу никого задеть.
Слушаю ВАС...

[zerg]

Если я не прав  - прошу тут же бросить в меня камень.

А зачем я вообще ответил, по-вашему?

[ApB]

Группе, в которой пользователь - можно, а самому пользователю - нет. Снова для пользователя получается конфликт прав. Как система делает вывод о том, можно или нет?

1.некорректный подход к рассмотрению наделения субъекта правами при доступе к системе. OpenLdap в чистом виде никого правами не наделяет, но на базе оных сведений осуществляется авторизация. Samba в интерпретации AltLinux обеспечивает доступ, но знает только о пользователях. Группа для samba-кретерий разрешения/запрета доступа, но система (samba) его (группу) не может интерпретировать (созданный файл не будет иметь сведений о группе пользователя создавшего его, если файл создан с помощью win-клиента) ...ну или я пока не допетрил как это можно сделать (:
2. Для обеспечения наилучшего взаимодействия систем теоретически выгодно использовать NFS в качестве файл-сервера, Нативная авторизация на базе AltLinux для lin-клиентов, SAMBA для авторизации win-пользователей и запуска netlogon, обеспечение монтирования шар и прочие радости. Т.о. в сети имеем логически выделенный рес для авторизации и отдельный рес в качестве файлопомойки с учётом необходимости обеспечения обслуживания гетерогенной сети

[parser82]

Как тогда быть с моей мечтой настройки 2-х пар наборов шар:
1 набор: {сетевая папка пользователя (ну пусть не на отдельном сетевом хранилище NAS); общая папка обмена; папка заданий с правами readonly}
- доступ только для учителя/учителей
2 набор : {сетевая папка пользователя (ну пусть не на отдельном сетевом хранилище NAS); общая папка обмена; папка документов с правами readonly}
- доступ только ученика/учеников
  Неужели придется создавать/поднимать два отдельных сервака??!!
Т.е. задача по созданию шары для группы пользователей (но не для всех пользователей) на Samba-сервере ШКОЛЬНОГО ЛИНУКС СЕРВЕРА в рамках OpenLdap-домена невозможна?       :'(

[berkut_174]

Т.е. задача по созданию шары для группы пользователей (но не для всех пользователей) на Samba-сервере ШКОЛЬНОГО ЛИНУКС СЕРВЕРА в рамках OpenLdap-домена невозможна?

Возможно, конечно.