Права доступа к шарам LDAP

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Dark Smoke
ст. сержант
Сообщения: 313
Зарегистрирован: 2009-02-25 0:03:43
Откуда: Днепропетровск
Контактная информация:

Права доступа к шарам LDAP

Непрочитанное сообщение Dark Smoke » 2012-05-17 10:33:37

Добрый день.
Есть Freebsd 8.3 LDAP. Завел пользователей, пользователи находятся в разных группах. Есть шара на которую могут все писать и все удалять. Но по итогу получается, что один пользователь создал папку, второй удалить уже не может эту папку. А надо что бы он могу удалять. Говорю конкретно о public, int2 и int1.

Код: Выделить всё

cat /usr/local/etc/smb.conf
[global]

    workgroup = remi
    server string = PDC
    netbios name = PDC
    security = user
    hosts allow = 192.168.100. 127.

    load printers = no
    log file = /var/log/samba/log.%m
    max log size = 500
    acl compatibility = win2k

    encrypt passwords = yes
    admin users = admin
    passdb backend = ldapsam:ldap://localhost/


# здесь описываем лдап
ldap suffix = dc=remi,dc=local
ldap user suffix = ou=users
ldap group suffix = ou=groups
ldap machine suffix = ou=computers
ldap admin dn = "cn=root,dc=remi,dc=local"
ldap delete dn = no
ldap ssl = off
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind separator = @
winbind use default domain = yes

# делаем PDC
socket options = TCP_NODELAY
local master = yes
os level = 255
domain master = yes
preferred master = yes
domain logons = yes

# если хоиите юзать логон скрипты, то раскоментариваете
;   logon script = %m.bat
;   logon script = %U.bat

logon script = %G.cmd

# путь к перемещаемому профилю
logon path =

# путь к хомякам юзеров
logon home = \\pdc\home
logon drive = Z:

wins support = yes
dns proxy = no

display charset = cp1251
unix charset = cp1251
dos charset = cp866

time server = yes

# скрипты для добавления юзеров и групп (юзается в usermgr от nt4)
add machine script = /usr/local/sbin/ldapaddmachine '%u' computers
add user script = /usr/local/sbin/ldapadduser '%u' users
add group script = /usr/local/sbin/ldapaddgroup '%g'
add user to group script = /usr/local/sbin/ldapaddusertogroup '%u' '%g'
delete user script = /usr/local/sbin/ldapdeleteuser '%u'
delete group script = /usr/local/sbin/ldapdeletegroup '%g'
delete user from group script = /usr/local/sbin/ldapdeleteuserfromgroup '%u' '%g'
set primary group script = /usr/local/sbin/ldapsetprimarygroup '%u' '%g'
rename user script = /usr/local/sbin/ldaprenameuser '%uold' '%unew'


# делаем шару на хомяки
[home]
   comment = Home Directories
   path = /home/samba/homes/%U
   read only = no
   public = no
   writable = yes
   create mask = 0600
   browseable = no
   directory mask = 0700

# делаем шару на нетлогон (для запуска скриптов)
[netlogon]
   comment = Network Logon Service
   path = /usr/local/etc/samba/netlogon
   guest ok = yes
   writable = no
   share modes = no
   browseable = no

# делаем шару на перемещаемые профили
[profiles]
    create mask = 0600
    directory mask = 0700
    path = /home/samba/profiles/%u
    writeable = yes
    browseable = no
    locking = no
#    csc policy = disable # эта строчка необходима чтобы отключить автономное кеширование


# просто так :) чтобы можно было на тачку заходить
[IPC$]
path = /tmp
hosts allow = 192.168.100.0/24 127.0.0.1
hosts deny = 0.0.0.0/0

[public]
   comment = Public share
   path = /share/public
   guest ok = no
   writable = yes
#   browseable = yes
    public = no
    create mode = 666
    directory mode = 777
#    valid users = @admins1,@admins2,@admins3,@admins4,@users1,@users2,@users3
#    write list = @admins1,@admins2,@admins3,@admins4,@users1,@users2,@users3

[install]
   comment = install share
   path = /share/install
   guest ok = no
   writable = yes
    public = no
    create mode = 664
    directory mode = 777
#    write list = @admins

 [acters]
   comment = acters share
   path = /share/acters
   guest ok = no
   writable = yes
    public = no
    create mode = 666
    directory mode = 777
    valid users = @admins1, @admins2, @users4
    write list = @admins1, @admins2

 [artist]
   comment = artist share
   path = /share/artist
   guest ok = no
   writable = yes
    public = no
    create mode = 666
    directory mode = 777
    valid users = @admins1,@admins2, @users4
    write list = @admins1,@admins2

 [demo_recor]
   comment = demo recor share
   path = /share/demo_recor
   guest ok = no
   writable = yes
    public = no
    create mode = 666
    directory mode = 777
    valid users = @admins1,@admins2,@users4
    write list = @admins1,@admins2

 [demo_remi]
   comment = demo remi share
   path = /share/demo_remi
   guest ok = no
   writable = yes
    public = no
    create mode = 664
    directory mode = 777
    valid users = director, @admins3, @users3
    write list = director, @admins3, @users3

 [manager_recor]
   comment = manager_recor share
   path = /share/manager_recor
   guest ok = no
   writable = yes
    public = no
    create mode = 666
    directory mode = 777
    valid users = @admins1,@admins2, @users4
    write list = @admins1,@admins2

 [manager_remi]
   comment = manager_remi share
   path = /share/manager_remi
   guest ok = no
   writable = yes
    public = no
    create mode = 664
    directory mode = 777
    valid users = director,@admins3,@users3, @users4
    write list = director,@admins3,@users3

 [audio]
   comment = audio share
   path = /share/audio
   guest ok = no
   writable = yes
    public = yes
    create mode = 664
    directory mode = 777
    valid users =@admins1, director,@admins2,@users1,@users2
    write list = director,@admins1,@admins2,@users1,@users2

 [video]
   comment = video share
   path = /share/video
   guest ok = no
   writable = yes
    public = no
    create mode = 664
    directory mode = 777
    valid users = @admins1,director,@admins2,@users1
    write list = @admins1,director,@admins2,@users1

 [uchet_recor]
   comment = uchet share
   path = /share/uchet-recor
   guest ok = no
   writable = yes
    public = no
    create mode = 666
    directory mode = 777
    valid users = @admins1,@admins2,@admins4,@uchet
    write list = @admins1,@admins2,@admins4,@uchet

 [uchet_remi]
   comment = uchet-remi share
   path = /share/uchet-remi
   guest ok = no
   writable = yes
    public = no
    create mode = 664
    directory mode = 777
    write list = @admins1,director, @admins3, @users3

 [buhgalter]
   comment = buhgaler share
   path = /share/buhgalter
   guest ok = no
   writable = yes
    public = no
    create mode = 666
    directory mode = 777
    valid users = @admins1,@admins2,@admins4
    write list = @admins1,@admins2,@admins4

 [tmp]
   comment = tmp share
   path = /share/tmp
   guest ok = no
   writable = yes
    public = no
    create mode = 666
    directory mode = 777
    valid users = @admins1,@admins2
    write list = @admins1,@admins2

 [base]
   comment = base share
   path = /share/base
   guest ok = no
   writable = yes
    public = no
    create mode = 660
    directory mode = 770
    valid users = alex
    write list = alex

 [int1]
   comment = int1 share
   path = /hdd3/int1
   guest ok = no
   writable = yes
    public = no
    create mode = 666
    directory mode = 777
    valid users = @admins1, @admins2, @users1, operator1, operator2
    write list = @admins1, @admins2, @users1, operator1, operator2

 [materiali]
   comment =  materiali share
   path = /tank4
   guest ok = no
   writable = yes
    public = no
    create mode = 666
    directory mode = 777
    valid users = @admins1, @admins2, @users1
    write list = @admins1, @admins2, @users1

 [int2]
   comment = int2 share
   path = /hdd2/int2
   guest ok = no
   writable = yes
    public = no
    create mode = 666
    directory mode = 777
    valid users = @admins1, @admins2, @users1, operator1
    write list = @admins1, @admins2, @users1, operator1
Последний раз редактировалось f_andrey 2012-05-17 12:57:37, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Dark Smoke
ст. сержант
Сообщения: 313
Зарегистрирован: 2009-02-25 0:03:43
Откуда: Днепропетровск
Контактная информация:

Re: Права доступа к шарам LDAP

Непрочитанное сообщение Dark Smoke » 2012-05-17 15:17:58

Код: Выделить всё

drwxrwxrwx  25 root  wheel     1024 May 17 14:32 public

Код: Выделить всё

-rwxrwxrwx   1 audio3     wheel     43012 May 17 14:17 .DS_Store
drwxrwxrwx   3 user5      wheel       512 Oct  6  2011 .TemporaryItems
drwxrwxrwx  24 director2  wheel      1536 May  8 12:56 AUDIO1 (??????)
drwxrwxrwx   9 director2  wheel      1024 May 14 15:57 AUDIO2 (?????, ???)
drwxrwxrwx  10 director2  wheel      1024 May  7 13:33 MANAGER1 (???????)
drwxrwxrwx   9 user5      wheel       512 Feb  1 08:29 Na server
-rwxrwxrwx   1 user7      wheel  46847480 Oct  5 08:06 P2055dn_W7x64.exe
drwxrwxrwx  10 director2  wheel       512 May  4 14:29 Printer(???????)
drwxrwxrwx  36 director2  wheel      2048 May 17 12:42 RECOR1 (????)
drwxrwxrwx   9 director2  wheel      1024 Apr 25 13:43 RECOR2 (????)
drwxrwxrwx   7 director2  wheel       512 Mar 28 08:16 RECOR3 (????)
drwxrwxrwx   2 director2  wheel       512 Mar 13 10:36 TERRASOFT BASE
-rwxrwxrwx   1 user7      wheel     47104 Jan 23 10:25 Thumbs.db
drwxrwxrwx   4 director2  wheel       512 May 17 10:31 User8(????)
drwxrwxrwx  20 director2  wheel      2048 May 17 14:33 VIDEO1 (????)
drwxrwxrwx   2 director2  wheel      1536 May 17 14:16 VIDEO2 (?????)
drwxrwxrwx   3 user7      wheel       512 May 17 10:10 VIDEO3 (????)
drwxrwxrwx  16 director2  wheel      1024 May 15 15:10 VIDEO4 (??????)
drwxrwxrwx  14 user7      wheel      1024 May 17 14:34 VIDEO5(?????)
drwxrwxrwx   5 audio3     wheel       512 May 14 10:03 interpipe 2
drwxrwxrwx   4 show       wheel       512 Feb 27 16:11 jperf-2.0.0
drwxrwxrwx   2 root       wheel       512 Jan 31 08:27 korzina
drwxrwxrwx   6 audio1     wheel       512 May  8 07:09 lavrentiev
-rwxrwxrwx   1 operator1  wheel      4133 May  8 12:56 treeinfo.wc
drwxrwxrwx  20 director2  wheel       512 Feb  9 12:27 ? ?????
drwxrwxrwx   2 director2  wheel       512 Feb 13 09:54 ????????????
drwxrwxrwx   5 user5      wheel      1024 Apr 18 07:51 ??????? ?????
-rwxrwxrwx   1 user2      wheel     90624 Feb  3 09:27 ?????? ?????? ???????.doc

Dark Smoke
ст. сержант
Сообщения: 313
Зарегистрирован: 2009-02-25 0:03:43
Откуда: Днепропетровск
Контактная информация:

Re: Права доступа к шарам LDAP

Непрочитанное сообщение Dark Smoke » 2012-05-17 15:41:29

Получается что создатель - владелиц, как это отключить?

ChihPih
ст. прапорщик
Сообщения: 566
Зарегистрирован: 2009-09-04 12:23:30
Откуда: Где-то в России...
Контактная информация:

Re: Права доступа к шарам LDAP

Непрочитанное сообщение ChihPih » 2012-05-18 18:48:56

Смотрите в сторону директив force group, force user
www.info-x.org - информационный ресурс о ОС FreeBSD.

Dark Smoke
ст. сержант
Сообщения: 313
Зарегистрирован: 2009-02-25 0:03:43
Откуда: Днепропетровск
Контактная информация:

Re: Права доступа к шарам LDAP

Непрочитанное сообщение Dark Smoke » 2012-05-19 11:02:37

Я вобще так понимаю что это не возможно. Потому что к примеру пользователь создавший папку находится в группе Тест1, а пользователь который хочет удалить папку находится в группе Тест2. Всегда группы разные будут. Правильно я понял? Существуют ли какие то универсальные группы или пользователи?

ChihPih
ст. прапорщик
Сообщения: 566
Зарегистрирован: 2009-09-04 12:23:30
Откуда: Где-то в России...
Контактная информация:

Re: Права доступа к шарам LDAP

Непрочитанное сообщение ChihPih » 2012-05-19 11:18:22

Смотрите в сторону директив force group, force user
Для кого я это написал? Данные директивы позволяют задать пользователя и группу для шары, под которыми самба будет работать в данной шаре, проще говоря.
www.info-x.org - информационный ресурс о ОС FreeBSD.

Dark Smoke
ст. сержант
Сообщения: 313
Зарегистрирован: 2009-02-25 0:03:43
Откуда: Днепропетровск
Контактная информация:

Re: Права доступа к шарам LDAP

Непрочитанное сообщение Dark Smoke » 2012-05-20 11:01:37

Почитал про эту опцию и просто хочу уточнить.

Есть пользователь admin из группы admins1
есть пользователь operator из группы users1

Как им дать доступ?
Так что ли:

Код: Выделить всё

[public]
        comment = Public share
        path = /share/public
        force group = @users1, @admins1, @admins2, @admins3, @admins4
        read only = No
        create mask = 0666
        directory mask = 0777

ChihPih
ст. прапорщик
Сообщения: 566
Зарегистрирован: 2009-09-04 12:23:30
Откуда: Где-то в России...
Контактная информация:

Re: Права доступа к шарам LDAP

Непрочитанное сообщение ChihPih » 2012-05-20 11:17:34

статья. там написано как можно доступом управлять и конфиг самбы есть
www.info-x.org - информационный ресурс о ОС FreeBSD.