samba+acl (chown+chmod)

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

samba+acl (chown+chmod)

Непрочитанное сообщение mediamag » 2010-04-22 14:22:24

Добрый день..вот и до меня дошла очередь поднимать файловый сервак на самбе, хавать с доменконтроллера учётки и пускать по ним на шары. Настраивал вот по этой статье http://www.lissyara.su/articles/freebsd ... ps+ad+acl/ и по этой http://www.lissyara.su/articles/freebsd ... ad+nt_acl/ Не делал только монтирование ACL в fstab (хочу рулить разрешениями непосредственно из конфига самбы).В домен ввел отлично - доменных юзеров и группы самба видит. Сделал конфиг (выдержка настроек одной из шар)

Код: Выделить всё

comment = install
   path = /usr/usr_c/install
   read list = "@HL8\пользователи домена"
   write list = @HL8\вася
   admin users = @HL8\вася
   read only = No
   create mask = 0666
   directory mask = 0777
Зашёл в MC, по F7 создал каталог install. И что обнаружил - могу зайти любым юзером, но только для чтения. Вспомнил про chown chmod и полез по F9 в эти параметры. Юзеры и группы домена там видятсмя. Нашёл юзера, нашёл группу, выставил. Теперь на шару заходит так как мне нужно...но!! если сделать шару вот так

Код: Выделить всё

comment = install
   path = /usr/usr_c/install
   read only = No
   create mask = 0666
   directory mask = 0777
то я всё равно могу заходить на шару тем юзером и с теми правами, которые я выставил в chmod и chown...подскажите пожалуйста, как сделать чтобы именно конфиг самбы рулил разрешениями?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: samba+acl (chown+chmod)

Непрочитанное сообщение snorlov » 2010-04-22 14:41:55

Читайте документацию

Код: Выделить всё

create mask = 0666
С данной маской создается файл клиентом из сети, в результате каждый созданный файл будет иметь атрибуты rw-rw-rw-

Код: Выделить всё

   directory mask = 0777
С данной маской создается каталог клиентом из сети,
Вам чего надо-то... Читайте про такие параметры как

Код: Выделить всё

 security mask
 directory security mask

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: samba+acl (chown+chmod)

Непрочитанное сообщение mediamag » 2010-04-22 14:59:14

я могу открыть доступ к шаре определенному юзеру, только изменив chown и chmod по F9 в MC...а я хочу чтобы работали доступы к шаре из smb.conf...я же ниже написал, что могу удалить write list и read list, но шары всё равно будут корректно работать, так как разрешения в самой фряхе на папку наверное выше, чем разрешения из smb.conf

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: samba+acl (chown+chmod)

Непрочитанное сообщение snorlov » 2010-04-22 15:32:47

Код: Выделить всё

write list
read list
valid users
invalid users
admin isers
Эти директивы определяют права доступа по сети, не путайте разрешения файловой системы и доступ к ресурсу из сети.
У микрософт это называется permissions на вкладке sharing, а разрешения файловой системы там идет на закладке security.
Поэтому вы можете дать полный контроль локально пользователю, а вот по сети он будет только читать...
Если нет ни одной из этих директив, то пользователь получает разрешения файловой системы.
Проведите эксперимент, пусть шаренные каталоги у вас будет находиться на системе включенной c acl, то через chmod dchown дайте права root:wheel с ключом -R,
а других пользователй добавьте через setfacl, причем вы можете добавлять как rwx, так и --- и посмотрите что будет

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: samba+acl (chown+chmod)

Непрочитанное сообщение mediamag » 2010-04-22 15:55:54

спасибо за наводку..попробую - отпишусь

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: samba+acl (chown+chmod)

Непрочитанное сообщение mediamag » 2010-04-22 18:56:01

если в настройках шары я прописываю переменные

Код: Выделить всё

write list
readlist
valid users
они не как не влияют на доступ к шаре из сети....я свободно коментирую эти переменные, выдаю доступ по chown chmod и захожу из сети на шару тем юзером и той группой, которую указал при chown chmod

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: samba+acl (chown+chmod)

Непрочитанное сообщение snorlov » 2010-04-22 22:15:20

mediamag писал(а):если в настройках шары я прописываю переменные

Код: Выделить всё

write list
read list
valid users
они не как не влияют на доступ к шаре из сети....я свободно коментирую эти переменные, выдаю доступ по chown chmod и захожу из сети на шару тем юзером и той группой, которую указал при chown chmod
Еще раз говорю, если нет

Код: Выделить всё

write list
read list
valid users
то это аналогично виндовому случаю, что доступ на эту шару доступен всем, поэтому и сразу срабатывает права на файловой системе, а вы попробуйте зайти теми кого, нет в chmod chown, что получите...

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: samba+acl (chown+chmod)

Непрочитанное сообщение mediamag » 2010-04-23 12:35:07

если я создам папку install через мс по F7, а в конфиге самба поставлю какого нить юзера домена, то с сети я могу заходить любым юзером, но только для чтения...а я хочу чтобы заходили на папку install только те и с такими правами, которые есть в конфиге самбы и только (не изменяя ничего в chmod chown)

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: samba+acl (chown+chmod)

Непрочитанное сообщение snorlov » 2010-04-23 15:32:49

mediamag писал(а):если я создам папку install через мс по F7, а в конфиге самба поставлю какого нить юзера домена, то с сети я могу заходить любым юзером, но только для чтения...а я хочу чтобы заходили на папку install только те и с такими правами, которые есть в конфиге самбы и только (не изменяя ничего в chmod chown)
Ну так используй все комплексно

Код: Выделить всё

valid users
только они будут заходить на эту шару

Код: Выделить всё

write users
только они будут читать/писать

Код: Выделить всё

read users
только они будут читать

Код: Выделить всё

invalid users
доступ этим пользователям запрещен

Пожалуй проблема самбы для твоего слкчая - слишком много параметров.... :smile:

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: samba+acl (chown+chmod)

Непрочитанное сообщение mediamag » 2010-04-23 18:03:36

погоди)))) или я не понял или мы друг друга не поняли....если я в chown и chmod не выставлю юзера, который должен заходить на данную шару, все могут заходить на нее для чтения...не работают параметры

Код: Выделить всё

valid users
write users
read users
не важно какхи юзеров я в них выставляю....шара начинает работать как мне нада только тогда, когда я выставляю в chown нужного мне юзера. Перефразирую вопрос...как мне нужно создать шару например install, чтобы работали разрешения

Код: Выделить всё

valid users
write users
read users
???? Я делаю так: прописал в конфиге путь к шаре, комент и выставил ридонли=no далее....зашёл в мс нажал F7 и создал папку в месте равному пути в параметре path далее - какие мне нужно указать параметры в chown и chmod чтобы шара не зависила от них, а зависила только от конфига самбы???? или оставить chown chmod дефолтовые???? По дефолту создаётся папка инстал с доступом root wheel

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: samba+acl (chown+chmod)

Непрочитанное сообщение snorlov » 2010-04-23 18:14:39

Поставь на файловой системе доступ всем, тогда по сети сработают разрешения

Код: Выделить всё

valid users
write users
read users
Ну а дальше начинаешь рулить масками в конфиге, а то созданные файлы будут иметь RW для создателя и R для остальных, что наверное не есть гуд...
Скачай документацию, главы 8 -9, в моей по крайней мере...

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: samba+acl (chown+chmod)

Непрочитанное сообщение mediamag » 2010-04-23 19:19:02

я ставил root wheel и в chmod

Код: Выделить всё

red by owner write by owner read by group write by group read by other write by other
и выставляю в самбе нужных мне юзеров, но всё равно все могут заходить на папку из сети не зависимо от того кто у меня в

Код: Выделить всё

valid users
write users
read users

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: samba+acl (chown+chmod)

Непрочитанное сообщение snorlov » 2010-04-25 20:52:23

Ну не знаю...
1. после изменения конфига перезапустить самбу не забыл?
2. Директив в секции [global] типа force user, map guest или подобного нет?

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: samba+acl (chown+chmod)

Непрочитанное сообщение mediamag » 2010-04-26 9:43:38

конфиг простой вот:

Код: Выделить всё

[global]
        workgroup = HL8.DOM
        security = ADS
        password server = 10.0.0.4
        realm = HL8.DOM
        netbios name = fs
        server string =
        max log size = 0
        log level = 0
        syslog = 0
        log file = /var/log/samba/%m.%U.log
        max log size = 50000
        auth methods = winbind
        winbind uid = 10000-20000
        winbind gid = 10000-20000
        hosts allow = 10.0.0., 127.
        winbind use default domain = yes
        display charset = koi8-r
        unix charset = koi8-r
        dos charset = 866
        winbind enum users = yes
        winbind enum groups = yes
        encrypt passwords = yes
        socket options = SO_RCVBUF=8192 SO_SNDBUF=8192 TCP_NODELAY IPTOS_LOWDELAY
        interfaces = sk0 lo0
        bind interfaces only = yes
        nt acl support = yes
        map acl inherit = yes
        inherit acls = no
        inherit owner = no
        inherit permissions = no
        acl check permissions = true
        acl map full control = false
        block size = 4096
        client ntlmv2 auth = yes
        dns proxy = no
        getwd cache = yes
        hide dot files = yes
        hide special files = yes
        keepalive = 0
        max connections = 200


[install]

       comment = install
       path = /c/install
       read list = @HL8\admin
       write list = @HL8\admin
#       valid users =
       read only = No
       create mode = 666
       directory mode = 666
       create mask = 0666
       directory mask = 0777

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: samba+acl (chown+chmod)

Непрочитанное сообщение snorlov » 2010-04-26 9:54:18

А что пишет

Код: Выделить всё

getfacl  /c/install

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: samba+acl (chown+chmod)

Непрочитанное сообщение mediamag » 2010-04-26 10:13:00

Код: Выделить всё

getfacl  /c/install
# file: /c/install
# owner: root
# group: wheel
user::rwx
group::r-x
other::r-x

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: samba+acl (chown+chmod)

Непрочитанное сообщение snorlov » 2010-04-26 10:31:19

valid user ' ов нет, вот всех и пускает... А дальше ограничения файловой системы...

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: samba+acl (chown+chmod)

Непрочитанное сообщение mediamag » 2010-04-26 10:54:36

смонтировал разделы с поддержкой acl. подскажите пожалуста, как добавить acl из консоли для входа доменного юзера или группы?

Код: Выделить всё

/dev/mirror/gm0s1a on / (ufs, local)
devfs on /dev (devfs, local)
/dev/mirror/gm0s1g on /c (ufs, local, soft-updates, acls)
/dev/mirror/gm0s1e on /tmp (ufs, local, soft-updates)
/dev/mirror/gm0s1f on /usr (ufs, local, soft-updates)
/dev/mirror/gm0s1d on /var (ufs, local, soft-updates)
/dev/mirror/gm1s1d on /disk_d (ufs, local, soft-updates, acls)

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: samba+acl (chown+chmod)

Непрочитанное сообщение snorlov » 2010-04-26 11:12:37

mediamag писал(а):смонтировал разделы с поддержкой acl. подскажите пожалуста, как добавить acl из консоли для входа доменного юзера или группы?
Для групп

Код: Выделить всё

setfacl  -m  g:"domain users":r-x /c/install
Для пользователей

Код: Выделить всё

setfacl  -m  u:"admin":rwx /c/install
Да и еще, у тебя включены директивы наследования не забудь про них

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: samba+acl (chown+chmod)

Непрочитанное сообщение mediamag » 2010-04-26 12:43:37

сделал

Код: Выделить всё

setfacl  -m  u:"admin":rwx /c/install
доступ открылся....НО в конфиге самбы я закоментил параметры

Код: Выделить всё

[install]

       comment = install
       path = /c/install
#       read list = @HL8\admin
#       write list = @HL8\admin
#       valid users =
#       admin users = @HL8\admin
       read only = No
       create mode = 666
       directory mode = 666
       create mask = 0666
       directory mask = 0777
И всё равно пускаетадмина((((..тоесть права раздаются уже не через chmod chown а через acl...а мне нужно чтобы разрешениями рулили именно вот эти строчки

Код: Выделить всё

read list write list admin users

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: samba+acl (chown+chmod)

Непрочитанное сообщение snorlov » 2010-04-26 13:25:33

Попробуй

Код: Выделить всё

install]
       comment = install
       path = /c/install
#       read list = @HL8\admin
#       write list = @HL8\admin
      invalid users = @HL8\admin
#       admin users = @HL8\admin
       read only = No
       create mode = 666
       directory mode = 666
       create mask = 0666
       directory mask = 0777

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: samba+acl (chown+chmod)

Непрочитанное сообщение mediamag » 2010-04-26 14:06:07

все могут зайти...я могу зайти и изменить

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: samba+acl (chown+chmod)

Непрочитанное сообщение snorlov » 2010-04-26 14:22:53

mediamag писал(а):все могут зайти...я могу зайти и изменить
Ну тогда не знаю, у меня к примеру все работает, правда шары у меня в свободном доступе, а рулю только через acl...

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: samba+acl (chown+chmod)

Непрочитанное сообщение mediamag » 2010-04-26 15:01:36

а как тогда рулить acl через виндовые галки??? я то их вижу в закладке безопасность, но редактировать не могу.

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: samba+acl (chown+chmod)

Непрочитанное сообщение snorlov » 2010-04-26 15:24:04

Уберите в конфиге наследование и прочитайте весь топик с сначала, а также статью с этого сайта...