Дополнительные разрешения и разрешения для подпакок и файлов setfacl

0

1

Доброго дня! Подскажите, пожалуйста, как можно установить дополнительные разрешения на директорию с помощью setfacl? Чтоб у пользователя были права rwx, но он не мог менять владельца и менять права. И как поставить права на папку и подпапки, если подпапок ещё нет?

Ссылка

←	Крайне медленно выполняются команды

Wireguard пропадает после перезагрузки

→

Рядовой пользователь и так не может менять владельца папок или файлов, даже обладая полным набором прав rwx.

И как поставить права на папку и подпапки, если подпапок ещё нет?

google://setfacl ACL inherit

Ну и в целом можно прочитать что-нибудь обзорное и краткое по правам. Например это

Pinkbyte ★★★★★
(10.09.21 13:28:12 MSK)
Последнее исправление: Pinkbyte 10.09.21 13:30:12 MSK (всего исправлений: 1)

Ответ на: комментарий от Pinkbyte 10.09.21 13:28:12 MSK

Как это не может, если я ставлю командой setfacl -R -m "u:user_name:rwx" user_name/. Захожу в винду, на машину rsat, а там галки стоят смена владельца и смена разрешений.

dzhx
(10.09.21 13:40:51 MSK) автор топика

Ответ на: комментарий от dzhx 10.09.21 13:40:51 MSK

Как это не может

Так не может

а там галки стоят смена владельца и смена разрешений.

Это не значит абсолютно нихрена, ты сменить попробуй

Pinkbyte ★★★★★
(10.09.21 13:48:23 MSK)
Последнее исправление: Pinkbyte 10.09.21 13:48:40 MSK (всего исправлений: 1)

Ответ на: комментарий от Pinkbyte 10.09.21 13:48:23 MSK

Почему это не значит? Смена владельца же работает. Если не чего сказать по существу, быть может, лучше пройти мимо? Ссылки на гугол я и без вашего участия найду.

dzhx
(10.09.21 13:49:37 MSK) автор топика

Ответ на: комментарий от dzhx 10.09.21 13:49:37 MSK

Почему это не значит? Смена владельца же работает. Если не чего сказать по существу, быть может, лучше пройти мимо? Ссылки на гугол я и без вашего участия найду.

Потому что не значит. У меня опыт работы с Samba(а судя потому что ты спрашиваешь про UNIX-права и тычешь мне вендовой оснасткой - у тебя Samba) больше 10 лет, я прекрасно понимаю как это работает и прекрасно знаю всё несовершенство отображения UNIX ACL в виндовые NT ACL. Там ВСЕГДА видны права смена разрешения/смена владельца, но при попытке РЕАЛЬНО сменить владельца - самба даёт отлуп access denied, если ты специально в ней не ковырялся

Pinkbyte ★★★★★
(10.09.21 13:51:21 MSK)
Последнее исправление: Pinkbyte 10.09.21 13:51:43 MSK (всего исправлений: 1)

Ответ на: комментарий от Pinkbyte 10.09.21 13:51:21 MSK

Так нажал на кнопку сменить владельца, потом пошёл в линукс и ls посмотрел владельца. Стоит новый владелец. Как ещё можно проверить? Это не реальная смена владельца? Эфемерная?

dzhx
(10.09.21 13:52:56 MSK) автор топика

Ответ на: комментарий от dzhx 10.09.21 13:52:56 MSK

если ты специально в ней не ковырялся
Стоит новый владелец

Конфиг Samba в студию - у тебя там admin users скорее всего стоит

Pinkbyte ★★★★★
(10.09.21 13:54:03 MSK)
Последнее исправление: Pinkbyte 10.09.21 13:54:50 MSK (всего исправлений: 2)

Ответ на: комментарий от Pinkbyte 10.09.21 13:54:03 MSK

[global]
   workgroup = CO
   realm = CO.MYDOMAIN.RU
   security = ADS
   winbind refresh tickets = Yes
   vfs objects = acl_xattr
   map acl inherit = Yes
   store dos attributes = Yes
   dedicated keytab file = /etc/krb5.keytab
   kerberos method = secrets and keytab
   winbind use default domain = yes
   winbind enum users = yes
   winbind enum groups = yes

   log file = /var/log/samba/log.%m

   max log size = 1000

   logging = file

   panic action = /usr/share/samba/panic-action %d

   idmap config * : range = 10000-20000
   idmap config * : backend = tdb

   usershare allow guests = yes

[homes]
   comment = Home Directories
   browseable = no
   read only = yes
   create mask = 0700
   directory mask = 0700
   valid users = %S

[printers]
   comment = All Printers
   browseable = no
   path = /var/spool/samba
   printable = yes
   guest ok = no
   read only = yes
   create mask = 0700

[print$]
   comment = Printer Drivers
   path = /var/lib/samba/printers
   browseable = yes
   read only = yes
   guest ok = no

[exchange]
   comment = exchange
   path = /exchange
   inherit acls = no
   writable = yes

dzhx
(10.09.21 14:05:35 MSK) автор топика

Ответ на: комментарий от dzhx 10.09.21 14:05:35 MSK

А, тут у тебя полноценный ввод в домен, с kerberos-ом как положено, это меняет дело.

Тебе нужен acl_xattr

Update: упс, в глаза долблюсь, он у тебя есть.

Проверь, сами xattr пишутся в файлы? Если да, то надо просто поснимай из под венды нужные права - оно запишет всё как надо

Через setfacl этого не сделать - там только UNIX ACL

Можно попробовать smbcacls, но я сам ей не пользовался ни разу

Pinkbyte ★★★★★
(10.09.21 14:12:22 MSK)
Последнее исправление: Pinkbyte 10.09.21 14:15:05 MSK (всего исправлений: 4)

Ответ на: комментарий от Pinkbyte 10.09.21 14:12:22 MSK

Вроде же стоит. в секции global, 5 строкой. Оно, собственно, всё работает, мне просто нужно как-то управлять расширенными списками доступа из командной строки, чтоб автоматизировать. А из командной строки вижу только rwx, нет дополнительных разрешений - типа, записи атрибутов, траверс папок и т.д.

dzhx
(10.09.21 14:19:08 MSK) автор топика

Ссылка

Ответ на: комментарий от Pinkbyte 10.09.21 14:12:22 MSK

Понял, спасибо за справку, погляжу. Извините за грубое сообщение выше.

dzhx
(10.09.21 14:20:18 MSK) автор топика

Ответ на: комментарий от dzhx 10.09.21 14:20:18 MSK

Извините за грубое сообщение выше

Принято, да я и сам не лучше - про хранение NT acl в xattr не вспомнил. Всё же чаще имею дело со standalone-серверами samba, нежели с интегрированными в active directory.

Pinkbyte ★★★★★
(10.09.21 14:27:22 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Крайне медленно выполняются команды

Admin

Wireguard пропадает после перезагрузки

→

Похожие темы