Samba + AD Access

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
rustamxp
рядовой
Сообщения: 49
Зарегистрирован: 2010-10-13 17:39:44

Samba + AD Access

Непрочитанное сообщение rustamxp » 2010-11-14 12:37:46

Добрый день!

Код: Выделить всё

root@backup.plastics.ua /usr/home/rustamxp#cat /usr/local/etc/smb.conf
[global]
        workgroup = PL
        security = ADS
        password server = sr-dc1.pl.local
        realm = pl.local
        netbios name = Backup
        server string = Plastics Backup Server
        #log level = 10
        log file = /var/log/samba34/%m.%U.log
        max log size = 50000
        winbind uid = 10000-20000
        winbind gid = 10000-20000
        winbind use default domain = yes
        display charset = koi8-r
        unix charset = koi8-r
        dos charset = 866
        #template homedir = /usr/home/%D/%U
        #template shell=/bin/csh

[printers]
        comment = All Printers
        path = /var/spool/samba
        printable = Yes
        browseable = No
        use client driver = Yes
        public = Yes

[Share]
        comment                 = Plastics File Share
        path                    = /mnt/share/
        read list               = "@PL\g_it"
        write list              = "@PL\g_1c"
        read only               = No
        browseable              = Yes
        create mask             = 0660
        directory mask          = 0770
        inherit owner           = yes
        inherit acls            = yes
        inherit permissions     = yes
        map acl inherit         = yes
        locking			= no
root@backup.plastics.ua /usr/home/rustamxp#
группа g_it имеет доступ на чтение, а группа g_1c имеет доступ на запись - тут все правильно. а вот все остальные пользователи, которые не входят ни в одну, ни в другую группу, имеют полный доступ на запись. подскажите, куда копать? как запретить доступ тем пользователям, которые не входят в группы, перечисленные в read list и write list ?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

rustamxp
рядовой
Сообщения: 49
Зарегистрирован: 2010-10-13 17:39:44

Re: Samba + AD Access

Непрочитанное сообщение rustamxp » 2010-11-14 14:32:15

проблема решена добавлением опции valid users
конкретно в моем случае выглядит это так:

Код: Выделить всё

root@backup.plastics.ua /usr/home/rustamxp#cat /usr/local/etc/smb.conf
[global]
        workgroup = PL
        security = ADS
        password server = sr-dc1.pl.local
        realm = pl.local
        netbios name = Backup
        server string = Plastics Backup Server
        #log level = 10
        log file = /var/log/samba34/%m.%U.log
        max log size = 50000
        winbind uid = 10000-20000
        winbind gid = 10000-20000
        winbind use default domain = yes
        display charset = koi8-r
        unix charset = koi8-r
        dos charset = 866
        #template homedir = /usr/home/%D/%U
        #template shell=/bin/csh

[printers]
        comment = All Printers
        path = /var/spool/samba
        printable = Yes
        browseable = No
        use client driver = Yes
        public = Yes

[Share]
        comment                 = Plastics File Share
        path                    = /mnt/share/
        read list               = "@PL\g_it"
        write list              = "@PL\g_1c"
        valid users           = "@PL\g_it","@PL\g_1c"
        read only               = No
        browseable              = Yes
        create mask             = 0660
        directory mask          = 0770
        inherit owner           = yes
        inherit acls            = yes
        inherit permissions     = yes
        map acl inherit         = yes
        locking         = no
root@backup.plastics.ua /usr/home/rustamxp#

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Samba + AD Access

Непрочитанное сообщение snorlov » 2010-11-14 23:54:51

Можно было всем, кроме твоих групп, откусить права на каталог /mnt/share, read,write,valid обеспечивают доступ из сети...

rustamxp
рядовой
Сообщения: 49
Зарегистрирован: 2010-10-13 17:39:44

Re: Samba + AD Access

Непрочитанное сообщение rustamxp » 2010-11-15 12:30:41

вся суть сводилась к тому, что бы все права раздать на уровне конфига самбы.
просто этих шар там ОЧЕНЬ много, групп тоже огромное количество. глянул в конфиг - и все сразу ясно. а если раздавать разрешения на папки, можно что-то недоглядеть... да и, в конце концов можно рекурсивно задать владельца и разрешения двумя командами, а не для всех сто-питцод папок править разрешения...

Alteron
сержант
Сообщения: 230
Зарегистрирован: 2008-07-21 9:35:11

Re: Samba + AD Access

Непрочитанное сообщение Alteron » 2010-11-20 21:29:53

Код: Выделить всё

read only = No
аналог

Код: Выделить всё

writeable = yes
Т.е. гостям разрешено всё. Права доступа определяются премишенами на файловую систему.
Измеритель верёвочками.

rustamxp
рядовой
Сообщения: 49
Зарегистрирован: 2010-10-13 17:39:44

Re: Samba + AD Access

Непрочитанное сообщение rustamxp » 2010-11-20 23:22:15

Т.е. гостям разрешено всё.
нет, опция valid users определяет кто вообще имеет доступ к ресурсу.
если

Код: Выделить всё

valid users = "@PL\g_it","@PL\g_1c"
то никто кроме этих 2 групп не сможет туда зайти.
Права доступа определяются премишенами на файловую систему.
у меня ОЧЕНЬ много папок. контролить пермишены для коннкретного пользователя/группы просто нереально :(
именно поэтому у меня рекурсивно владелец всех папок nobody (кроме папки с профилем, т.к. винда наотрез отказалась поднимать профиль если $владелец_папки<>$юзер. но это скриптом в одну строку правится).

в моем случае все разрешения определяются конфигом самбы - легче контролить...