Samba a práva k více skupinám

Samba a práva k více skupinám
« kdy: 10. 12. 2013, 19:31:20 »
Zdravím, potřebuji prosím poradit s následujícím problémem na CentOS6.4 se Sambou3.6.9.

Vezmu smyšlený ukázkový příklad. Rozhodl jsem se udělat sdílení podle skupin vedení, administrativa a provoz. Tyto skupiny jsou založeny v systému, do těchto skupin přidám potřebné uživatele a nastavim jim heslo pro sambu. utvořil jsem sdílení v smb.conf a nastavil oprávnění k souborům viz níže.

soborový systém:

drwxrwx--x root vedeni ved
drwxrwx--x root administrativa adm
drwxrwx--x root provoz pro

a smb.conf:

[s-svedeni]
path = /smb/ved
public = no
writable = yes
valid users = @vedeni

[s-administrativa]
path = /smb/adm
public = no
writable = yes
valid users = @administrativa

[s-provoz]
path = /smb/pro
public = no
writable = yes
valid users = @provoz

... tohle asi fungovat bude. A teď věci se kterým si nejsem úplně jistý.

1. některý z uživatelů bude patřit do víc skupin zároveň, ale primární může být jen jedna a u adresáře může být taky jen jedna skupina. Je nějaký rozdíl z pohledu souborového systému jestli uživatel přistupuje k prostředku jako člen primární nebo jen skupiny??

2. A můj druhý problém je následující. Na administrativu přišel stážista kterému chci umožnit aby mohl dokumenty problížet, ale nesmí mít právo pro zápis do adresáře. Jaké je nejleší řešení tohodle problému? Napadlo mě upravit smb.conf na:


[s-administrativa]
path = /smb/adm
public = no
writable = yes
read list = stazista
valid users = @administrativa

... což si myslim že by problém řešilo, ale pak je tu druhá stránka, že ten stážista má pořád oprávnění k souborovému systému. A tim se dostávám k třetí otázce která logicky vyplývá z věci

3. Nebylo by možné nastavit (extrémní případ) oprávnění na d777 -666 a oprávnění k souborovému systému řešit jen sambou? Je zde jiné řešení jak vyřešit toho stážistu?

Předem moc dík za odpověď.
« Poslední změna: 10. 12. 2013, 21:05:28 od Petr Krčmář »


Lol Phirae

Re:samba nastavení smb.conf vs souborový systém
« Odpověď #1 kdy: 10. 12. 2013, 20:57:07 »
Ufff. Nastav všem v Sambě read/write a read-only práva nastav pomocí ACL (man setfacl)

LadaD

Re:Samba a práva k více skupinám
« Odpověď #2 kdy: 11. 12. 2013, 09:26:23 »
Pokud jste v situaci, když nelze použít ACL, např proto, že je nepodporuje FS tak lze použít force group a prava nastavil 770 pro adresáře, nebo 660 pro soubory. Pak je možno mít v sambě více write a read skupin.

Re:Samba a práva k více skupinám
« Odpověď #3 kdy: 12. 12. 2013, 20:58:33 »
Je to tak. Nastavování základních práv byla slepá cesta - acl práci udělá. myslim, že jsem docela pochopil jak to pracuje, ale vrtá mi hlavou jedna věc. Na youtube jsem našel video a ten člověk tam popisuje proč za dresář dává "/" ... v žádných návodech ho tam nedávaji a mě to bez něj taky funguje. Má někdo prosím vysvělení o čem tam povídá a jak to funguje? Jedná se o video níž a čas je 6:30 - rozumím slovům, ale nechápu proč. Předem dík

http://www.youtube.com/watch?v=6piQXXHTmqk