Проблемы установки, настройки и работы Правильной Операционной Системы
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
pepelac
- проходил мимо
- Сообщения: 4
- Зарегистрирован: 2008-02-01 19:29:33
Непрочитанное сообщение
pepelac » 2008-02-01 19:44:32
На сервере установлена FreeBSD 6.3 Stable, samba-3.0.28,1 Самба настроена аналогично этой статье
http://www.lissyara.su/?id=1460
Описание шары:
Код: Выделить всё
[it]
comment = IT department's Docs
path = /data/it
create mask = 0664
force create mode = 0664
directory mask = 0774
force directory mode = 0774
write list = @it,@hr
#inherit owner = yes
inherit permissions = yes
inherit acls = yes
map acl inherit = yes
admin users = @"Domain\ACL Admins"
recycle:repository = /data/recycle/it
vfs objects = smb_spider full_audit recycle
Проблема в том, что acl могут редактировать не только пользователи из группы "ACL Admins", но и владельцы папок или файлов.
Права на папку /data/it
drwxrwxr-x 5 root it
Хотелось бы сделать так чтобы ACLями могли рулить только пользователи из группы ACL Admins
pepelac
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
pepelac
- проходил мимо
- Сообщения: 4
- Зарегистрирован: 2008-02-01 19:29:33
Непрочитанное сообщение
pepelac » 2008-02-04 12:14:34
В статье написано:
# список тех, кому разрешёно ставить те самые галки,
# ради которых всё затевалось. интересная особенность, в которую
# до конца не вкурил - в одинаковых конфигурациях, иногда можно
# указывать без домена, а иногда домен необходим.
# Все операции этих пользователей выполняются от рута!
admin users = "@MY-DOMAIN\Admin Users", MY-DOMAIN\lissyara
Однако в мане:
In a POSIX filesystem, only the owner of a file or directory and the
superuser can modify the permissions and ACLs on a file
Нестыковка выходит. У меня поведение самбы как по манам, хотелось бы как в статье
Может кто знает, как владельцев лишить права управлять ACL'ями?
pepelac
-
Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
-
Контактная информация:
Непрочитанное сообщение
Alex Keda » 2008-02-04 12:16:12
дык - на то они и владельцы....
====
а в чём нестыковка? Список этих пользователей работает не от себя а от рута.
Убей их всех! Бог потом рассортирует...
Alex Keda
-
pepelac
- проходил мимо
- Сообщения: 4
- Зарегистрирован: 2008-02-01 19:29:33
Непрочитанное сообщение
pepelac » 2008-02-04 16:53:13
Есть чёткая инструкция - распределением прав занимаются IT'шники. Возможность владельцам рулить правами на файлы - отступление от инструкций.
pepelac
-
Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
-
Контактная информация:
Непрочитанное сообщение
Alex Keda » 2008-02-04 16:57:08
ну так на то они и они владельцы...
Убей их всех! Бог потом рассортирует...
Alex Keda
-
princeps
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
-
Контактная информация:
Непрочитанное сообщение
princeps » 2008-02-04 17:13:45
а ты поменяй владельцев на рута, и с инструкцией твоей нестыковки не будет.
princeps
