Samba a adresář jen pro skupinu uživatelů

[jofrey007]

zdravim, riesim nasledujucu vec.
mame vo firme linuxovy server, na nom bezi samba. sucastou adresarovej struktury servera je adresar, kde vedieme projektove veci. Chcem aby do urcitych adresarov mali pristup len urcity uzivatelia na zaklade skupin (release, developers, management atd.).
Klientami tohoto adresaru su ako windows tak aj linux klienti, vacsina z nich pristupuje k tomuto adresaru cez sambu, ale  niektori aj cez  ssh.
Prvym krokom by som chcel "nastavit" taku konfiguraciu systemu,  aby fungoval pristup do tych zdielanych adresarov  podla toho do akej skupiny su zaradeni useri samby.

[Reklama]

[jofrey007]

nikto nic ? vie mi niekto poradit poradie krokov co a ako ? aky je vztah medzi skupinami (groups) v sambe a v systeme? daju sa mapovat 1:1 ?

[jofrey007]

tak este konkretnejsie
mam dvoch unix uzivatelov jano a fero (a tiez v sambe) a obidvaja su v unix skupine tester. mam adresar /home/projekty/projekt1. vlastnikom tohoho adresara je jano a adresar je v skupine tester. adresar /home/projekty mam nazdielany cez sambu
teraz:
1. obaja uzivatelia maju pristup do adresara projekt1 cez unix
2. uzivatel jano ma pristup do tohoto adresara aj cez sambu
3. uzivatel fero nema pristup do tohoto adresara cez sambu

ako urobit aby uzivatel fero mal pristup do adrerasa projekt1 cez sambu ?

[Ignotus]

Nemáš v konfigurácii daného zdieľania nastavené voľby valid users, read list alebo write list? Pokiaľ viem, tak týmito sa prepisujú štandardné unixové oprávnenia.

[jofrey007]

tu je vycuc z smb.conf

[projects]
   comment = Projekty
   path = /home/projects
   public = yes
   writable = yes
   only guest = no
   printable = no
   directory mask = 0777
   create mask = 0666
   force user = nobody
   force group = nobody

[Reklama]

[Revan]

jestli to chapu dobre tak chces povolit pristup jen pro skupinu tester..
v tom pripade by ti melo stacit pridat radek:
valid users = @tester

mozna zmenit public na no ale nevim jiste.. zkus a uvidis

[jofrey007]

jestli to chapu dobre tak chces povolit pristup jen pro skupinu tester..
v tom pripade by ti melo stacit pridat radek:
valid users = @tester

mozna zmenit public na no ale nevim jiste.. zkus a uvidis

nie celkom je to pravda..pretoze adresar /home/projekty obsahuje spustu dalsich podadresarov teda chcem aby pristup bol nasledujuci

/home/projekty/projekt1/tests - pristup len pre skupiny testers
/home/projekty/projekt1/release - pristup len pre skupiny release

/home/projekty/projekt2/tests - pristup len pre skupiny testers
/home/projekty/projekt2/release - pristup len pre skupiny release

atd....

[jofrey007]

no...asi som to poriesil...

vyhodil som force user a force group a zacalo to nejako fungovat.... :-)

[stilett]

Já to mám tak, že jsem každý adresář pro různou skupinu uživatelů nastavil zvlášť v konfiguraci Samby takto:

[release]
   path = /home/projects/release
   force group = +release
   create mask = 770
   force create mode = 660
   force directory mode = 770
   directory mask = 770
   read only = no


Adresář na serveru pak má nastavenou skupinu release a práva 770.

Zvlášť upozorňuji na + v parametru force group -  to nastaví skupinu (jako primární) pouze uživatelům, kteří do skupiny patří (takže to vlastně umožňuje kontrolu skupiny). Toto nastavení má tu výhodu, že nastavuje správná oprávnění souborům, které uživatelé vytvoří z Windows stanic - souborům to nastavuje skupinu release a potřebná práva skupině.

[Jan Opravil]

Takhle resim pristup do adresare sdileneho pres sambu pro uzivatele ve skupine administration

[administration]
        comment = Administration folder
        path = /srv/samba/administration
        public = no
        writable = yes
        printable = no
        browseable = no
        valid users = +administration
        write list = +administration

        create mask = 0770
        directory mask = 0770
        force group = administration


# logovaci a dalsi vychytavky
        vfs object = extd_audit recycle
        recycle:repository = /srv/samba/administration/.recycle-bin
        recycle:keeptree = Yes
        recycle:touch = Yes
        recycle:versions = Yes