forum.opennet.ru - "Samba, права и вложенные папки" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Samba, права и вложенные папки"

Форум Samba, вопросы интеграции Unix и Windows (ACL, блокировки и ограничения)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Samba, права и вложенные папки"	+/–
Сообщение от AtaZ (ok) on 09-Авг-13, 00:48
Обыскал уже весь инет, и много тем на этом форуме прочитал, но так и не нашел полного ответа по проблеме. Суть. Имеется убунта с самбой. Множество компов в сети с виндой. До меня настроили самбу с security = share. Сейчас же поставили задачу разграничить доступ. Но проблема в том что менять структуру шары (более 30млн файлов) не очень хочется. Пытался использовать всякие инструкции по настройке. Вот конфиг на тестовом сервере (сам ещё плохо разбираюсь в линуксе) [text] path = /home/share/text writeable = yes ; browseable = yes valid users = adddd [111] path = /home/share/all writeable = yes ; browseable = yes guest ok = yes [51535] path = /home/share/text/51535 writeable = yes browseable = no valid users = wett guest ok=no Вроде бы всё работает, но есть проблема. После ввода пароля от папки /home/leonid/text получается доступ и к 51535, при этом прописав в строке адреса /home/share/text/51535 винда шлет лесом. Надеюсь я смог изложить суть проблемы, спасибо за помощь.
Ответить \| Правка \| Cообщить модератору

Оглавление

Samba, права и вложенные папки, ACCA, 14:59 , 09-Авг-13, (1)

Samba, права и вложенные папки, AtaZ, 15:12 , 09-Авг-13, (2)

Samba, права и вложенные папки, ACCA, 09:44 , 10-Авг-13, (3)

Samba, права и вложенные папки, AtaZ, 15:10 , 10-Авг-13, (4)

Samba, права и вложенные папки, ACCA, 21:30 , 11-Авг-13, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Samba, права и вложенные папки" +/–

Сообщение от ACCA (ok) on 09-Авг-13, 14:59

> Суть. Имеется убунта с самбой. Множество компов в сети с виндой.
Ну вот, сразу самая суть - у тебя есть какая-то самба, и все сразу смогут догадаться, что это самба 3, а не 4.

> Вроде бы всё работает, но есть проблема. После ввода пароля от папки
> /home/leonid/text получается доступ и к 51535, при этом прописав в строке
> адреса /home/share/text/51535 винда шлет лесом.
В POSIX нет "пароля от папки", ты заходишь юзером (adddd) с его паролем. У которого оказались права и на /home/share/text/51535 в пределах той же [text].
Проще всего - перенеси 51535 на один уровень выше, это мгновенная операция. Получишь единообразную структуру
   /home/share/text
   /home/share/all
   /home/share/51535
Там ещё будет непростой вопрос с force group, но это тема другого урока.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Samba, права и вложенные папки" +/–

Сообщение от AtaZ (ok) on 09-Авг-13, 15:12

>> Суть. Имеется убунта с самбой. Множество компов в сети с виндой.
> Ну вот, сразу самая суть - у тебя есть какая-то самба, и
> все сразу смогут догадаться, что это самба 3, а не 4.
Самба 3 версии.
Обновить пока что возможности нет, принцип "работает - не трожь"
начальство за простой фирмы по головке не погладит.
Возможно я версию не правильно определил, подскажи как точно определить.
> В POSIX нет "пароля от папки", ты заходишь юзером (adddd) с его
> паролем. У которого оказались права и на /home/share/text/51535 в пределах той
> же [text].
Я так и думал((
> Проще всего - перенеси 51535 на один уровень выше, это мгновенная операция.
> Получишь единообразную структуру
>    /home/share/text
>    /home/share/all
>    /home/share/51535
Я не могу перенести на уровень выше, слишком много всего завязано на файлообменнике.
Делалось до меня и координально менять структуру себе дороже.
Есть ли вообще способ выдавать отдельные права? Если для этого надо менять права в самой убунте, я даже на это согласен, меня волнует как потом это объяснить самбе?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Samba, права и вложенные папки" +/–

Сообщение от ACCA (ok) on 10-Авг-13, 09:44

> Самба 3 версии.
> Обновить пока что возможности нет, принцип "работает - не трожь"
> начальство за простой фирмы по головке не погладит.
И правильно сделает. В 4 игра идёт по совсем другим правилам.

>> Проще всего - перенеси 51535 на один уровень выше, это мгновенная операция.
>> Получишь единообразную структуру
>>    /home/share/text
>>    /home/share/all
>>    /home/share/51535
> Я не могу перенести на уровень выше, слишком много всего завязано на
> файлообменнике.
Намного проще разобраться с файлообменником, чем с бардаком, который ты собираешься сотворить. В /home/share/text/51535 могут появляться файлы и каталоги, к которым не имеет доступа wett, но имеет доступ adddd или наоборот - кто первый встал, того и тапки.

> Есть ли вообще способ выдавать отдельные права? Если для этого надо менять
Разумеется есть. Можешь на уровне юзеров, можешь на уровне групп, но см.выше.

> права в самой убунте, я даже на это согласен, меня волнует
> как потом это объяснить самбе?
man 8 smb.conf
   force group
   create mask
   directory mask
   force create mode
   force directory mode
Такой хернёй лучше не маяться, всегда будут неожиданности:
   inherit acls
   inherit owner
   inherit permissions

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Samba, права и вложенные папки" +/–

Сообщение от AtaZ (ok) on 10-Авг-13, 15:10

> Намного проще разобраться с файлообменником, чем с бардаком, который ты собираешься сотворить.
> В /home/share/text/51535 могут появляться файлы и каталоги, к которым не имеет
> доступа wett, но имеет доступ adddd или наоборот - кто первый
> встал, того и тапки.
Щас потыкался и действительно борьба за "тапки" сильно мешает.
Ещё раз перечитал тематику ACL и по идее проблему тапок решает рекурсивная установка прав, тобишь наследование.
Какие камни могут быть здесь?
И ещё вопрос: можно ли создать группу чтобы у ней без дополнительного маразма был доступ ко всем файлам при входе по паролю самбы?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Samba, права и вложенные папки" +/–

Сообщение от ACCA (ok) on 11-Авг-13, 21:30

> Ещё раз перечитал тематику ACL и по идее проблему тапок решает рекурсивная
> установка прав, тобишь наследование.
Можно и триггеры на famd навесить, только зачем?
Почитай про "XY problem" и попробуй задать вопрос ещё раз - что именно ты хочешь получить?

> И ещё вопрос: можно ли создать группу чтобы у ней без дополнительного
> маразма был доступ ко всем файлам при входе по паролю самбы?
Разумеется. Создай группу, добавь туда всех юзеров. Во всех шарах поставь force group, force create mode и force directory mode, чтобы файлы создавались, например 660, а каталоги 770. В уже существующем дереве сделай chmod и chown. В chmod не забудь g+s. Однако см. выше.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Samba, права и вложенные папки"	+/–
Сообщение от ACCA (ok) on 09-Авг-13, 14:59
> Суть. Имеется убунта с самбой. Множество компов в сети с виндой. Ну вот, сразу самая суть - у тебя есть какая-то самба, и все сразу смогут догадаться, что это самба 3, а не 4. > Вроде бы всё работает, но есть проблема. После ввода пароля от папки > /home/leonid/text получается доступ и к 51535, при этом прописав в строке > адреса /home/share/text/51535 винда шлет лесом. В POSIX нет "пароля от папки", ты заходишь юзером (adddd) с его паролем. У которого оказались права и на /home/share/text/51535 в пределах той же [text]. Проще всего - перенеси 51535 на один уровень выше, это мгновенная операция. Получишь единообразную структуру /home/share/text /home/share/all /home/share/51535 Там ещё будет непростой вопрос с force group, но это тема другого урока.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Samba, права и вложенные папки"	+/–
	Сообщение от AtaZ (ok) on 09-Авг-13, 15:12
	>> Суть. Имеется убунта с самбой. Множество компов в сети с виндой. > Ну вот, сразу самая суть - у тебя есть какая-то самба, и > все сразу смогут догадаться, что это самба 3, а не 4. Самба 3 версии. Обновить пока что возможности нет, принцип "работает - не трожь" начальство за простой фирмы по головке не погладит. Возможно я версию не правильно определил, подскажи как точно определить. > В POSIX нет "пароля от папки", ты заходишь юзером (adddd) с его > паролем. У которого оказались права и на /home/share/text/51535 в пределах той > же [text]. Я так и думал(( > Проще всего - перенеси 51535 на один уровень выше, это мгновенная операция. > Получишь единообразную структуру > /home/share/text > /home/share/all > /home/share/51535 Я не могу перенести на уровень выше, слишком много всего завязано на файлообменнике. Делалось до меня и координально менять структуру себе дороже. Есть ли вообще способ выдавать отдельные права? Если для этого надо менять права в самой убунте, я даже на это согласен, меня волнует как потом это объяснить самбе?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Samba, права и вложенные папки"	+/–
	Сообщение от ACCA (ok) on 10-Авг-13, 09:44
	> Самба 3 версии. > Обновить пока что возможности нет, принцип "работает - не трожь" > начальство за простой фирмы по головке не погладит. И правильно сделает. В 4 игра идёт по совсем другим правилам. >> Проще всего - перенеси 51535 на один уровень выше, это мгновенная операция. >> Получишь единообразную структуру >> /home/share/text >> /home/share/all >> /home/share/51535 > Я не могу перенести на уровень выше, слишком много всего завязано на > файлообменнике. Намного проще разобраться с файлообменником, чем с бардаком, который ты собираешься сотворить. В /home/share/text/51535 могут появляться файлы и каталоги, к которым не имеет доступа wett, но имеет доступ adddd или наоборот - кто первый встал, того и тапки. > Есть ли вообще способ выдавать отдельные права? Если для этого надо менять Разумеется есть. Можешь на уровне юзеров, можешь на уровне групп, но см.выше. > права в самой убунте, я даже на это согласен, меня волнует > как потом это объяснить самбе? man 8 smb.conf force group create mask directory mask force create mode force directory mode Такой хернёй лучше не маяться, всегда будут неожиданности: inherit acls inherit owner inherit permissions
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Samba, права и вложенные папки"	+/–
	Сообщение от AtaZ (ok) on 10-Авг-13, 15:10
	> Намного проще разобраться с файлообменником, чем с бардаком, который ты собираешься сотворить. > В /home/share/text/51535 могут появляться файлы и каталоги, к которым не имеет > доступа wett, но имеет доступ adddd или наоборот - кто первый > встал, того и тапки. Щас потыкался и действительно борьба за "тапки" сильно мешает. Ещё раз перечитал тематику ACL и по идее проблему тапок решает рекурсивная установка прав, тобишь наследование. Какие камни могут быть здесь? И ещё вопрос: можно ли создать группу чтобы у ней без дополнительного маразма был доступ ко всем файлам при входе по паролю самбы?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Samba, права и вложенные папки"	+/–
	Сообщение от ACCA (ok) on 11-Авг-13, 21:30
	> Ещё раз перечитал тематику ACL и по идее проблему тапок решает рекурсивная > установка прав, тобишь наследование. Можно и триггеры на famd навесить, только зачем? Почитай про "XY problem" и попробуй задать вопрос ещё раз - что именно ты хочешь получить? > И ещё вопрос: можно ли создать группу чтобы у ней без дополнительного > маразма был доступ ко всем файлам при входе по паролю самбы? Разумеется. Создай группу, добавь туда всех юзеров. Во всех шарах поставь force group, force create mode и force directory mode, чтобы файлы создавались, например 660, а каталоги 770. В уже существующем дереве сделай chmod и chown. В chmod не забудь g+s. Однако см. выше.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору