Права на общую шару

Diogen · September 16, 2011, 2:46pm

Задача
# объеденить несколько пользователей в группу.
# только этой группе разрешить доступ к специально для этого созданному общему ресурсу

что делал я:

1 создал группу boss и добавил в неё 2х пользователей
tutov_r и popov_a

calculate samba # cl-info -G  boss samba
Information about group boss for service Samba
+------------+-----------------+
| Field      | Value           |
+------------+-----------------+
| Group      | boss            |
| Name       | Calculate group |
| GID        | 1011            |
| Group type | domain group    |
| Member UID | tutov_r         |
|            | popov_a         |
+------------+-----------------+

2. создал директорию в которую прописал в конфиге самбы
фрагмент конфига

[share]
        path = /var/calculate/server-data/samba/share
        comment = Share Files
        browseable = yes
        writable = yes
        hide unreadable = yes

[boss]
        path = /var/calculate/server-data/samba/boss
        comment = Boss Files
        browseable = yes
        writable = yes
        hide unreadable = yes

размножалось копированием )

3. раздал права

 # file: boss
 # owner: root
 # group: root
user::rwx
group::r-x
group:boss:rw-
mask::rwx
other::rwx
default:user::rwx
default:group::r-x
default:group:boss:rw-
default:mask::rwx
default:other::rwx

4. перезапустил самбу

итого. в сетевом окружении папка босс видна, но в неё не пускает никого и не под каким паролем.
в линухе она тоже автоматом не цепляется. что я забыл или сделал не так?

Yuego · September 17, 2011, 5:01pm

Автоматом цепляться она нигде не будет.

А вот насчет прав - зачем тут acl? вполне достаточно стандартных прав unix:

chown root:boss /var/calculate/server-data/samba/boss
chmod 0770 /var/calculate/server-data/samba/boss

Без права на выполнение никто туды и не зайдет. А полные права есть только у root, но от его имени на самбовые шары тоже не зайти.
Дайте группе boss права на выполнение. И все должно заработать.

PS
можно было не создавать отдельную шару, а создать подкаталог в шаре share. у кого нет прав - его даже не увидят там.

Lautre · September 17, 2011, 11:53pm

Попробуйте решить задачу проще. Используйте не сетевые диски, а директории в Share. Для них и создавайте необходимые права. Если прав нет, такая директория не будет видна для пользователя. Эти все установки уже прописаны в Samba CDS. В Windows такой ресурс будет виден как диск R:\, в Linux - как директория Share.

Diogen · September 18, 2011, 12:26pm

Alexander Tratsevskiy wrote:

Попробуйте решить задачу проще. Используйте не сетевые диски, а директории в Share. Для них и создавайте необходимые права. Если прав нет, такая директория не будет видна для пользователя. Эти все установки уже прописаны в Samba CDS. В Windows такой ресурс будет виден как диск R:, в Linux - как директория Share.

вопрос в общем-то на уровне идеологии . каждому пользователю должны цепляться только ему нужные ресурсы . а не как не один ресурс на все про все

Diogen · September 18, 2011, 12:27pm

Артём Власов wrote:

Дайте группе boss права на выполнение. И все должно заработать.

Спасибо . помогло

Diogen · October 24, 2011, 10:51am

На стенде все работало …стали делать реальную систему пошли непонятки

# Проблема - не все пользователи имеют доступ на запись на шару

Как реализовано .
В группу “Domain Users” добавлены все пользователи которым нужен доступ к общему ресурсу

setfacl -m default:group:"Domain Users":rw share
setfacl -R -m group:"Domain Users":rw share
chmod -R 0777 /var/calculate/server-data/samba/share
chown -R root:"Domain Users" /var/calculate/server-data/samba/share/

т.е теоретически больше чем сейчас есть прав уже не сделать …но во вложенные папки пользователи не могут получить доступ на запись

Возможно я как-то не так понимаю идеологию системы ?

icerider · October 24, 2011, 11:16am

chmod -R 0777 /var/calculate/server-data/samba/share

Не устанавливайте такие права на share, потому что это позволит любому пользователю подключившему ресурс делать что угодно с любыми файлами. Если же Вам нужен каталог, в который смогут писать все пользователи, то вы можете его создать уже внутри share и уже ему назначить права 0777.

setfacl -m default:group:Domain Users share
setfacl -R -m group:Domain Users share
но во вложенные папки пользователи не могут получить доступ на запись

Вы забыли про права на выполнение. Об порядке определения доступа по ACL правам можно прочитать [[setting_filesystem_acl|здесь]].