Сетевые папки, доступ.

Samba вообще странная штука. Может было бы проще примонтировать по sshfs?

Мне нужно сделать хранилище для клиентов Windows. Не знал про sshfs, почитаю что это такое. Т.е. можно сделать разрешения на сетевые папки?

дык так и пиши сразу. в среде виндовс ничего нет, кроме самбы.

ничего непонятно зачем это вот все. если пользователю не разрешен доступ на запись в папку «-w» share, то он не сможет ни создать ни удалить ни изменить никакое имя внутри папки (+w для папки это изменение списка файлов внутри папки).
разреши для Share r-x для всех а то внутрь никто не войдет.

на сами папки 001 002 доступ +w для пользователя, из-под которого входит самба-пользователь.

зачем файл с +i внутри папки ??
что в итоге не получается-то ??

По IP

«зачем файл с +i внутри папки??» - Для того чтобы не удалить папку 001…

Мне нужно сделать так чтобы в корневом каталоге находились подкаталоги, которые не могут удалить пользователи, кроме владельца (root), а уже в подкаталогах , у пользователей были все права.

Я прошу прощения, за сумбур, пытаюсь понять эту Sambу, но не очень все получается, брал примеры с сайтов, потом пытался под себя делать.

Вот smb.conf мой

[Share] comment = Everyone in the groupA path = /samba/Share browseable = yes read only = no force create mode = 0770 force directory mode = 2770 valid users = @groupA,user1

У Share 777 счас поставил.

если ты не имешь прав «на запись» в папку Share ты не сможешь удалить вложенные в эту папку файлы.
файл излишен.

запрети запись для остальных, ну и группы, для папки Share «chmod go-w ./Share». тогда никто не сможет изменить или удалить файлы находящиеся в ней, кроме владельца. ну и изменить атрибуты.

а вот уже для вложенных папок дай все доступы. «chmod a+rwx ./Share/001 ./Share/002» и тогда пользователи могут все, что угодно внутри ./Share/001 ./Share/002

рассматривай папку как текстовый файл со списком, содержащим имена и атрибуты файлов и папок, входящих в эту папку.
нет записи в список - ничего не сможешь с ним сделать.

Вот что сделал: Создал группу test, в нее добавил пользователей admin1, admin2. Группу присвоил, для каталога Share, владелец root, группа test. Присвоил эту же группу test и владельца root для подкаталогов ./Share/001 и 002.

Сейчас права у каталога Share такие: drwxr-xr-x 5 root test 4096 мая 30 18:58 share. Убрал у group и others право записи.

У подкаталогов в частности подкаталога 001 (./Share/001) права такие: drwxrwsrwx 2 root test 4096 мая 28 20:34 001.

Получилось так что в каталоге Share, если я захожу под admin1 записи нет, т.е. каталог Share могу смотреть, но записывать, удалять и т.п. создавать подкаталоги и файлы не могу, то что нужно. Под root, конечно могу.

А вот в подкаталоге 001 все заблокировано, ничего нельзя создать и т.д.

а внутри них пользователям можно удалять, создавать, вообщем, полные права. Еще нужно , чтобы в папке Share обычные пользователи не могли создавать каталоги, а только владелец.

В общем, для начала сходи почитай про «в общем» и «вообще», в чём отличие и про то, что слова «вообщем» нет.

А потом иди в гугл и читай про ACL и утилиты setfacl и getfacl командной строки. Обычными правами rwxrwxrwx (0777) ты это не настроишь.

При включении ACL можно потом настроить управление правами доступа через вкладку «Безопасность» любой машины с Windows.

Если есть домен, целесообразно включить туда твою samba, настроить acl и не колотить мозг. Можно для этих целей использовать freenas какой-нибудь.

Нету домена… standalone.

Пытаюсь сделать настройки безопасности каталога в windows, не удается их применить. Появляется сообщение, что отказано в доступе. Подключиться к папке подключаюсь, а когда настройки применяю , то пишет что отказано в доступе.

И еще , что интересно , создал файл в папке 001. Пытаюсь удалить папку, она как бы удаляется, исчезает папка,затем делаю обновление она появляется,но внутри нее все удаляется. Это все я делал в Windows.

Ну, видимо, как раз дело в acl

Понятно, что в ACL, только вот что делать, запутался. Подключил пользователя Admin1 в ACL: " setfacl -d -m u:admin1:rwx /Share/001 ". Но вот когда в Виндоуз пытаюсь настроить безопасность требует пароль , когда подключаю пользователей из Ubuntu, вот какой нужно вводить, администратора от UBUNTU , я пытался , но не сохраняет.

выдает сообщение, что отказано в доступе…

Ошибка при применении параметров безопасности… Не удалось выполнить перечисление объектов в контейнере. Отказано в доступе. Это сообщение появляется когда пытаюсь в Виндоуз настроить безопасность.

В настройках samba задай в параметре ‘admin users’ в секции Global укажи имена пользователей samba, которые будут иметь права администратора (root), что даст возможность изменять права доступа файлов и папок на сетевом ресурсе через оснастку «Безопасность» под Windows.

Добавил параметры в smb.conf, появилась возможножность изменять безопасность в среде Виндоуз. Все равно, когда пытаешься удалить не удаляемую папку , она не удаляется, а внутри нее все удаляется. Вот еще вопрос, может быть можно как-то решить иначе, виндоуз сервер, сразу не подходит, нужно что-то альтернативное, есть всякие NASы, типа True NAS, можно ли на них реализовать такую иерархию? Т.е. чтобы был корневой каталог, в нем размещались не удаляемые/не переименовываемые каталоги ( т.е. только root должен добавлять их и изменять), а внутри все пользователи обладали бы всеми правами?

А нет возможности разместить эти вложенные каталоги, как отдельную шару то?

«Добавил параметры в smb.conf, появилась возможность изменять безопасность в среде Виндоуз.» То есть то нет, не пойму в чем причины.

Хотел как в Виндоуз. Заходишь в корневую папку, в ней созданы не удаляемые папки, каждая для своей тематики. Вот для этого и хотел сделать. А так конечно, можно сделать шару по отдельности.

У меня есть папка public - там гадит кто хочет, и есть папки по отделам - уже отдельными шарами.

Полагаю, задача решаема, вопрос в том, как, сказать не просто. Ибо что бы дать ответ, надо пробовать.

А если папок шутк 10, сделаю я отдельные шары, сервер не в домене (ситуация такая), как авторизоваться? это на компе надо 10 раз авторизовываться к каждой шаре?

Ну так права дай нужные через оснастку, чтобы можно было удалить не удаляемую папку. Если это нужно тебе.

Ты не так понял, мне нужны не удаляемые папки, это названия отделов, к примеру, а вот в них , уже у пользователя должны быть все права. В Виндоус , я делал, одну корневую, в ней создавал папки отделов, делал эти папки не удаляемыми, а в них уже любые действия для пользователя. Вот мне так надо, вот пытаюсь, не получается. Вот можете пример сделать какой-нить? Вот читал эту статью, нечто похожее http://linux.bolden.ru/samba-share/.

Попробуй поставить immutable бит на директорию.

Так внутри папки тоже все нельзя будет изменить

В Виндоус , я делал, одну корневую, в ней создавал папки отделов, делал эти папки не удаляемыми, а в них уже любые действия для пользователя.

Ну так повторите то что делали под офтопиком, в смысле под офтопиком и повторите.

Настрой через оснастку виндоус права на папки.

Пробовал через оснастку, но не все комбинации разрешений сохраняются. Выбираю то что мне нужно, например ставлю галочку на в доп.настройках безопасности на «Изменение», то применение идет как Полный доступ. Когда чтение и запись, то да , сохраняет. Вообщем, решил эту статью еще раз сделать http://linux.bolden.ru/samba-share/. Проделал все как там написано, но защиты от удаления нет у подкаталогов. Может вот посмотрите этот вариант.Вроде то что нужно, но вот с удалением подкаталогов бы разобраться.

Вот еще вариант нашел, попробую проверить может подойдет. Запрет удаления/переименования директории

Еще вариант нашел, но тоже не получилось https://forum.altlinux.org/index.php?topic=37405.0

Проблема все та же , удаляю не удаляемые папки, внутри у них все удаляется.

Если знаешь пользователя и пароль компа, тогда будет псевдо SSO. Т.к. Windows сама отправит тебе нужные данные

А у вас fs на которых шары с поддержкой acl смонтированы?

Да

Честно говоря, понимаю , что где-то ошибаюсь, но вот еще опыта мало в UBUNTU, поэтому так вот. В виндоус просто, а тут уперся.