Страница 1 из 2
samba+acl (chown+chmod)
Добавлено: 2010-04-22 14:22:24
mediamag
Добрый день..вот и до меня дошла очередь поднимать файловый сервак на самбе, хавать с доменконтроллера учётки и пускать по ним на шары. Настраивал вот по этой статье
http://www.lissyara.su/articles/freebsd ... ps+ad+acl/ и по этой
http://www.lissyara.su/articles/freebsd ... ad+nt_acl/ Не делал только монтирование ACL в fstab (хочу рулить разрешениями непосредственно из конфига самбы).В домен ввел отлично - доменных юзеров и группы самба видит. Сделал конфиг (выдержка настроек одной из шар)
Код: Выделить всё
comment = install
path = /usr/usr_c/install
read list = "@HL8\пользователи домена"
write list = @HL8\вася
admin users = @HL8\вася
read only = No
create mask = 0666
directory mask = 0777
Зашёл в MC, по F7 создал каталог install. И что обнаружил - могу зайти любым юзером, но только для чтения. Вспомнил про chown chmod и полез по F9 в эти параметры. Юзеры и группы домена там видятсмя. Нашёл юзера, нашёл группу, выставил. Теперь на шару заходит так как мне нужно...но!! если сделать шару вот так
Код: Выделить всё
comment = install
path = /usr/usr_c/install
read only = No
create mask = 0666
directory mask = 0777
то я всё равно могу заходить на шару тем юзером и с теми правами, которые я выставил в chmod и chown...подскажите пожалуйста, как сделать чтобы именно конфиг самбы рулил разрешениями?
Re: samba+acl (chown+chmod)
Добавлено: 2010-04-22 14:41:55
snorlov
Читайте документацию
С данной маской создается файл клиентом из сети, в результате каждый созданный файл будет иметь атрибуты rw-rw-rw-
С данной маской создается каталог клиентом из сети,
Вам чего надо-то... Читайте про такие параметры как
Re: samba+acl (chown+chmod)
Добавлено: 2010-04-22 14:59:14
mediamag
я могу открыть доступ к шаре определенному юзеру, только изменив chown и chmod по F9 в MC...а я хочу чтобы работали доступы к шаре из smb.conf...я же ниже написал, что могу удалить write list и read list, но шары всё равно будут корректно работать, так как разрешения в самой фряхе на папку наверное выше, чем разрешения из smb.conf
Re: samba+acl (chown+chmod)
Добавлено: 2010-04-22 15:32:47
snorlov
Код: Выделить всё
write list
read list
valid users
invalid users
admin isers
Эти директивы определяют права доступа по сети, не путайте разрешения файловой системы и доступ к ресурсу из сети.
У микрософт это называется permissions на вкладке sharing, а разрешения файловой системы там идет на закладке security.
Поэтому вы можете дать полный контроль локально пользователю, а вот по сети он будет только читать...
Если нет ни одной из этих директив, то пользователь получает разрешения файловой системы.
Проведите эксперимент, пусть шаренные каталоги у вас будет находиться на системе включенной c acl, то через chmod dchown дайте права root:wheel с ключом -R,
а других пользователй добавьте через setfacl, причем вы можете добавлять как rwx, так и --- и посмотрите что будет
Re: samba+acl (chown+chmod)
Добавлено: 2010-04-22 15:55:54
mediamag
спасибо за наводку..попробую - отпишусь
Re: samba+acl (chown+chmod)
Добавлено: 2010-04-22 18:56:01
mediamag
если в настройках шары я прописываю переменные
они не как не влияют на доступ к шаре из сети....я свободно коментирую эти переменные, выдаю доступ по chown chmod и захожу из сети на шару тем юзером и той группой, которую указал при chown chmod
Re: samba+acl (chown+chmod)
Добавлено: 2010-04-22 22:15:20
snorlov
mediamag писал(а):если в настройках шары я прописываю переменные
они не как не влияют на доступ к шаре из сети....я свободно коментирую эти переменные, выдаю доступ по chown chmod и захожу из сети на шару тем юзером и той группой, которую указал при chown chmod
Еще раз говорю, если нет
то это аналогично виндовому случаю, что доступ на эту шару доступен всем, поэтому и сразу срабатывает права на файловой системе, а вы попробуйте зайти теми кого, нет в chmod chown, что получите...
Re: samba+acl (chown+chmod)
Добавлено: 2010-04-23 12:35:07
mediamag
если я создам папку install через мс по F7, а в конфиге самба поставлю какого нить юзера домена, то с сети я могу заходить любым юзером, но только для чтения...а я хочу чтобы заходили на папку install только те и с такими правами, которые есть в конфиге самбы и только (не изменяя ничего в chmod chown)
Re: samba+acl (chown+chmod)
Добавлено: 2010-04-23 15:32:49
snorlov
mediamag писал(а):если я создам папку install через мс по F7, а в конфиге самба поставлю какого нить юзера домена, то с сети я могу заходить любым юзером, но только для чтения...а я хочу чтобы заходили на папку install только те и с такими правами, которые есть в конфиге самбы и только (не изменяя ничего в chmod chown)
Ну так используй все комплексно
только они будут заходить на эту шару
только они будут читать/писать
только они будут читать
доступ этим пользователям запрещен
Пожалуй проблема самбы для твоего слкчая - слишком много параметров....
Re: samba+acl (chown+chmod)
Добавлено: 2010-04-23 18:03:36
mediamag
погоди)))) или я не понял или мы друг друга не поняли....если я в chown и chmod не выставлю юзера, который должен заходить на данную шару, все могут заходить на нее для чтения...не работают параметры
не важно какхи юзеров я в них выставляю....шара начинает работать как мне нада только тогда, когда я выставляю в chown нужного мне юзера. Перефразирую вопрос...как мне нужно создать шару например install, чтобы работали разрешения
???? Я делаю так: прописал в конфиге путь к шаре, комент и выставил ридонли=no далее....зашёл в мс нажал F7 и создал папку в месте равному пути в параметре
path далее - какие мне нужно указать параметры в chown и chmod чтобы шара не зависила от них, а зависила только от конфига самбы???? или оставить chown chmod дефолтовые???? По дефолту создаётся папка инстал с доступом root wheel
Re: samba+acl (chown+chmod)
Добавлено: 2010-04-23 18:14:39
snorlov
Поставь на файловой системе доступ всем, тогда по сети сработают разрешения
Ну а дальше начинаешь рулить масками в конфиге, а то созданные файлы будут иметь RW для создателя и R для остальных, что наверное не есть гуд...
Скачай документацию, главы 8 -9, в моей по крайней мере...
Re: samba+acl (chown+chmod)
Добавлено: 2010-04-23 19:19:02
mediamag
я ставил root wheel и в chmod
Код: Выделить всё
red by owner write by owner read by group write by group read by other write by other
и выставляю в самбе нужных мне юзеров, но всё равно все могут заходить на папку из сети не зависимо от того кто у меня в
Re: samba+acl (chown+chmod)
Добавлено: 2010-04-25 20:52:23
snorlov
Ну не знаю...
1. после изменения конфига перезапустить самбу не забыл?
2. Директив в секции [global] типа force user, map guest или подобного нет?
Re: samba+acl (chown+chmod)
Добавлено: 2010-04-26 9:43:38
mediamag
конфиг простой вот:
Код: Выделить всё
[global]
workgroup = HL8.DOM
security = ADS
password server = 10.0.0.4
realm = HL8.DOM
netbios name = fs
server string =
max log size = 0
log level = 0
syslog = 0
log file = /var/log/samba/%m.%U.log
max log size = 50000
auth methods = winbind
winbind uid = 10000-20000
winbind gid = 10000-20000
hosts allow = 10.0.0., 127.
winbind use default domain = yes
display charset = koi8-r
unix charset = koi8-r
dos charset = 866
winbind enum users = yes
winbind enum groups = yes
encrypt passwords = yes
socket options = SO_RCVBUF=8192 SO_SNDBUF=8192 TCP_NODELAY IPTOS_LOWDELAY
interfaces = sk0 lo0
bind interfaces only = yes
nt acl support = yes
map acl inherit = yes
inherit acls = no
inherit owner = no
inherit permissions = no
acl check permissions = true
acl map full control = false
block size = 4096
client ntlmv2 auth = yes
dns proxy = no
getwd cache = yes
hide dot files = yes
hide special files = yes
keepalive = 0
max connections = 200
[install]
comment = install
path = /c/install
read list = @HL8\admin
write list = @HL8\admin
# valid users =
read only = No
create mode = 666
directory mode = 666
create mask = 0666
directory mask = 0777
Re: samba+acl (chown+chmod)
Добавлено: 2010-04-26 9:54:18
snorlov
Re: samba+acl (chown+chmod)
Добавлено: 2010-04-26 10:13:00
mediamag
Код: Выделить всё
getfacl /c/install
# file: /c/install
# owner: root
# group: wheel
user::rwx
group::r-x
other::r-x
Re: samba+acl (chown+chmod)
Добавлено: 2010-04-26 10:31:19
snorlov
valid user ' ов нет, вот всех и пускает... А дальше ограничения файловой системы...
Re: samba+acl (chown+chmod)
Добавлено: 2010-04-26 10:54:36
mediamag
смонтировал разделы с поддержкой acl. подскажите пожалуста, как добавить acl из консоли для входа доменного юзера или группы?
Код: Выделить всё
/dev/mirror/gm0s1a on / (ufs, local)
devfs on /dev (devfs, local)
/dev/mirror/gm0s1g on /c (ufs, local, soft-updates, acls)
/dev/mirror/gm0s1e on /tmp (ufs, local, soft-updates)
/dev/mirror/gm0s1f on /usr (ufs, local, soft-updates)
/dev/mirror/gm0s1d on /var (ufs, local, soft-updates)
/dev/mirror/gm1s1d on /disk_d (ufs, local, soft-updates, acls)
Re: samba+acl (chown+chmod)
Добавлено: 2010-04-26 11:12:37
snorlov
mediamag писал(а):смонтировал разделы с поддержкой acl. подскажите пожалуста, как добавить acl из консоли для входа доменного юзера или группы?
Для групп
Для пользователей
Да и еще, у тебя включены директивы наследования не забудь про них
Re: samba+acl (chown+chmod)
Добавлено: 2010-04-26 12:43:37
mediamag
сделал
доступ открылся....НО в конфиге самбы я закоментил параметры
Код: Выделить всё
[install]
comment = install
path = /c/install
# read list = @HL8\admin
# write list = @HL8\admin
# valid users =
# admin users = @HL8\admin
read only = No
create mode = 666
directory mode = 666
create mask = 0666
directory mask = 0777
И всё равно пускаетадмина((((..тоесть права раздаются уже не через chmod chown а через acl...а мне нужно чтобы разрешениями рулили именно вот эти строчки
Re: samba+acl (chown+chmod)
Добавлено: 2010-04-26 13:25:33
snorlov
Попробуй
Код: Выделить всё
install]
comment = install
path = /c/install
# read list = @HL8\admin
# write list = @HL8\admin
invalid users = @HL8\admin
# admin users = @HL8\admin
read only = No
create mode = 666
directory mode = 666
create mask = 0666
directory mask = 0777
Re: samba+acl (chown+chmod)
Добавлено: 2010-04-26 14:06:07
mediamag
все могут зайти...я могу зайти и изменить
Re: samba+acl (chown+chmod)
Добавлено: 2010-04-26 14:22:53
snorlov
mediamag писал(а):все могут зайти...я могу зайти и изменить
Ну тогда не знаю, у меня к примеру все работает, правда шары у меня в свободном доступе, а рулю только через acl...
Re: samba+acl (chown+chmod)
Добавлено: 2010-04-26 15:01:36
mediamag
а как тогда рулить acl через виндовые галки??? я то их вижу в закладке безопасность, но редактировать не могу.
Re: samba+acl (chown+chmod)
Добавлено: 2010-04-26 15:24:04
snorlov
Уберите в конфиге наследование и прочитайте весь топик с сначала, а также статью с этого сайта...