Страница 1 из 1
Samba + AD Access
Добавлено: 2010-11-14 12:37:46
rustamxp
Добрый день!
Код: Выделить всё
root@backup.plastics.ua /usr/home/rustamxp#cat /usr/local/etc/smb.conf
[global]
workgroup = PL
security = ADS
password server = sr-dc1.pl.local
realm = pl.local
netbios name = Backup
server string = Plastics Backup Server
#log level = 10
log file = /var/log/samba34/%m.%U.log
max log size = 50000
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = yes
display charset = koi8-r
unix charset = koi8-r
dos charset = 866
#template homedir = /usr/home/%D/%U
#template shell=/bin/csh
[printers]
comment = All Printers
path = /var/spool/samba
printable = Yes
browseable = No
use client driver = Yes
public = Yes
[Share]
comment = Plastics File Share
path = /mnt/share/
read list = "@PL\g_it"
write list = "@PL\g_1c"
read only = No
browseable = Yes
create mask = 0660
directory mask = 0770
inherit owner = yes
inherit acls = yes
inherit permissions = yes
map acl inherit = yes
locking = no
root@backup.plastics.ua /usr/home/rustamxp#
группа g_it имеет доступ на чтение, а группа g_1c имеет доступ на запись - тут все правильно. а вот все остальные пользователи, которые не входят ни в одну, ни в другую группу, имеют полный доступ на запись. подскажите, куда копать? как запретить доступ тем пользователям, которые не входят в группы, перечисленные в read list и write list ?
Re: Samba + AD Access
Добавлено: 2010-11-14 14:32:15
rustamxp
проблема решена добавлением опции valid users
конкретно в моем случае выглядит это так:
Код: Выделить всё
root@backup.plastics.ua /usr/home/rustamxp#cat /usr/local/etc/smb.conf
[global]
workgroup = PL
security = ADS
password server = sr-dc1.pl.local
realm = pl.local
netbios name = Backup
server string = Plastics Backup Server
#log level = 10
log file = /var/log/samba34/%m.%U.log
max log size = 50000
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = yes
display charset = koi8-r
unix charset = koi8-r
dos charset = 866
#template homedir = /usr/home/%D/%U
#template shell=/bin/csh
[printers]
comment = All Printers
path = /var/spool/samba
printable = Yes
browseable = No
use client driver = Yes
public = Yes
[Share]
comment = Plastics File Share
path = /mnt/share/
read list = "@PL\g_it"
write list = "@PL\g_1c"
valid users = "@PL\g_it","@PL\g_1c"
read only = No
browseable = Yes
create mask = 0660
directory mask = 0770
inherit owner = yes
inherit acls = yes
inherit permissions = yes
map acl inherit = yes
locking = no
root@backup.plastics.ua /usr/home/rustamxp#
Re: Samba + AD Access
Добавлено: 2010-11-14 23:54:51
snorlov
Можно было всем, кроме твоих групп, откусить права на каталог /mnt/share, read,write,valid обеспечивают доступ из сети...
Re: Samba + AD Access
Добавлено: 2010-11-15 12:30:41
rustamxp
вся суть сводилась к тому, что бы все права раздать на уровне конфига самбы.
просто этих шар там ОЧЕНЬ много, групп тоже огромное количество. глянул в конфиг - и все сразу ясно. а если раздавать разрешения на папки, можно что-то недоглядеть... да и, в конце концов можно рекурсивно задать владельца и разрешения двумя командами, а не для всех сто-питцод папок править разрешения...
Re: Samba + AD Access
Добавлено: 2010-11-20 21:29:53
Alteron
аналог
Т.е. гостям разрешено всё. Права доступа определяются премишенами на файловую систему.
Re: Samba + AD Access
Добавлено: 2010-11-20 23:22:15
rustamxp
Т.е. гостям разрешено всё.
нет, опция valid users определяет кто вообще имеет доступ к ресурсу.
если
то никто кроме этих 2 групп не сможет туда зайти.
Права доступа определяются премишенами на файловую систему.
у меня ОЧЕНЬ много папок. контролить пермишены для коннкретного пользователя/группы просто нереально
именно поэтому у меня рекурсивно владелец всех папок nobody (кроме папки с профилем, т.к. винда наотрез отказалась поднимать профиль если $владелец_папки<>$юзер. но это скриптом в одну строку правится).
в моем случае все разрешения определяются конфигом самбы - легче контролить...