Такие вот ACL, возможно ли в Самбе?

[begemoto]

FreeBsd 70 + samba-3.0.25a_1,1. Расшарена папка Data всем по чтению. В ней папка Private и внутри нее нужны такие пермишены:
1.Всем можно читать содержимое Private
2.Всем можно создавать папки/файлы внутри Private.
3.Доступ по чтению к созданным папкам/файлам - только у владельца.
4.Удалять папки может только владелец.

Условно говоря: кто папку создал - у того к ней и доступ.
Насколько я понимаю, проблема в 4-м пункте - если некто может создавать папки, изменяя тем самым содержимое Private - он же может и удалить там любую папку, в не зависимости, кто ее создал. Или нет?
У кого нибудь работает така схема?

Код: Выделить всё

#getfacl /var/data/Private/
# file: /var/data/Private/
# owner: admin
# group: wheel
user::rwx
group::---
group:office_users:rw-
mask::rwx
other::---

Код: Выделить всё

Конфиг самбы:
[data]
    path      = /var/data
    admin users             = @Domain\admin
    read only               = No
    create mask             = 0660
    directory mask          = 0770
    inherit acls            = yes
    map acl inherit         = yes

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[dikens3]

1.Всем можно читать содержимое Private

3.Доступ по чтению к созданным папкам/файлам - только у владельца.

Ничего что права нужны одновременно противоположные?

P.S. Отдых тебе нужен, раз уж так мысль поворачивается.. :-)

[opt1k]

вобщем решение есть (я новичок и в данный момент не могу проверить то что предлагаю, поэтому "as is.... at your own risk...")

в smb.conf в разделе нужной шары
пишем две строки:

Код: Выделить всё

create mask = 0700
directory mask = 0700

Данные строчки говорят какой пермишен выставлять на файлы( и дириктории соответственно) создаваемые пользователем. Но опять же это так, если я что-то не перепутал...

[opt1k]

В таком случае пользователь сможет не только читать созданные собою папки и файлы, но и удалять и менять их.
А так что бы пользователь мог ТОЛЬКО читать ранее им созданное - имхо нельзя.

[Alex Keda]

лучше покопай в сторону корзинки и логгирования.
очень удобные штуки, а на пользователя распечатка логов производит просто неизгладимое впечатление ))

[opt1k]

лучше покопай в сторону корзинки и логгирования.
очень удобные штуки, а на пользователя распечатка логов производит просто неизгладимое впечатление ))

о_О подробнее, пожалуйста

[Alex Keda]

Код: Выделить всё

man vfs_recycle
man vfs_full_audit

плюс поиск по форуму - примеры были.

[begemoto]

Ничего что права нужны одновременно противоположные?

Может я неправильно объяснил, но в двух словах это выглядит, как я и писал выше:
кто папку создал - у того к ней и доступ.
Т.е. если Вася создал папку - только он может в нее зайти. И главное: удалить ее может только Вася, как владелец(создатель). По моему никаких противоречий! По крайней мере на винде это работает за пару кликов

лучше покопай в сторону корзинки

Спасибо, копну. А пока поглядываю в сторону аналога ShadowCopy - snapshot - мега удобно и здорово. Корзинка отдыхает!

Отдых тебе нужен, раз уж так мысль поворачивается..

Ага, выспавшись и поговорив с опытными товарищами - с их помощью вспомнил про sticky bit . Похоже он меня и спасет.

STICKY(8)
...
A file in a sticky directory may only be removed or renamed
by a user if the user has write permission for the directory and the user
is the owner of the file, the owner of the directory, or the super-user.