LINUX.ORG.RU
ФорумAdmin

Сетевые папки, доступ.

 , ,


1

1

Здравствуйте. Подскажите пожалуйста, как можно сделать иерархию доступа к сетевым папкам на samba, нужно для пользователей Windows.

Share—- ——- 001 ——- 002

Вход через папку Share, там несколько папок 001 и 002, которые нельзя удалять пользователям, а внутри них пользователям можно удалять, создавать, вообщем, полные права. Еще нужно , чтобы в папке Share обычные пользователи не могли создавать каталоги, а только владелец. Я так понимаю этой папке надо присвоить chmod 700 ~/Share?

Создал под root папки Share (drwxrwsrwx), 001 (drwxrwsrwx), 002 (drwxrwsrwx).

В папки 001 и 002 добавил скрытый файл (применил chattr +i, чтобы эти папки нельзя было стереть). Внутри папок 001 и 002 создал тестовые файлы. Когда подымаешься на уровень папки Share и пытаешься удалить папки 001 и 002, получается что внутри все файлы,удаляются, скрытый файл нет.

Вот бьюсь уже месяц , не получается совсем. В Ubuntu новичок, пытаюсь освоить, но вот нужен совет или помощь, может пример какой-то). Спасибо



Последнее исправление: nemo191 (всего исправлений: 2)
Ответ на: комментарий от Usruser

Мне нужно сделать хранилище для клиентов Windows. Не знал про sshfs, почитаю что это такое. Т.е. можно сделать разрешения на сетевые папки?

nemo191
() автор топика
Ответ на: комментарий от nemo191

дык так и пиши сразу. в среде виндовс ничего нет, кроме самбы.

ничего непонятно зачем это вот все. если пользователю не разрешен доступ на запись в папку «-w» share, то он не сможет ни создать ни удалить ни изменить никакое имя внутри папки (+w для папки это изменение списка файлов внутри папки).
разреши для Share r-x для всех а то внутрь никто не войдет.

на сами папки 001 002 доступ +w для пользователя, из-под которого входит самба-пользователь.

зачем файл с +i внутри папки ??
что в итоге не получается-то ??

pfg ★★★★★
()
Последнее исправление: pfg (всего исправлений: 1)
Ответ на: комментарий от nemo191

Мне нужно сделать так чтобы в корневом каталоге находились подкаталоги, которые не могут удалить пользователи, кроме владельца (root), а уже в подкаталогах , у пользователей были все права.

nemo191
() автор топика
Ответ на: комментарий от nemo191

Я прошу прощения, за сумбур, пытаюсь понять эту Sambу, но не очень все получается, брал примеры с сайтов, потом пытался под себя делать.

Вот smb.conf мой

[Share] comment = Everyone in the groupA path = /samba/Share browseable = yes read only = no force create mode = 0770 force directory mode = 2770 valid users = @groupA,user1

У Share 777 счас поставил.

nemo191
() автор топика
Ответ на: комментарий от nemo191

если ты не имешь прав «на запись» в папку Share ты не сможешь удалить вложенные в эту папку файлы.
файл излишен.

запрети запись для остальных, ну и группы, для папки Share «chmod go-w ./Share». тогда никто не сможет изменить или удалить файлы находящиеся в ней, кроме владельца. ну и изменить атрибуты.

а вот уже для вложенных папок дай все доступы. «chmod a+rwx ./Share/001 ./Share/002» и тогда пользователи могут все, что угодно внутри ./Share/001 ./Share/002

рассматривай папку как текстовый файл со списком, содержащим имена и атрибуты файлов и папок, входящих в эту папку.
нет записи в список - ничего не сможешь с ним сделать.

pfg ★★★★★
()
Последнее исправление: pfg (всего исправлений: 1)
Ответ на: комментарий от pfg

Вот что сделал: Создал группу test, в нее добавил пользователей admin1, admin2. Группу присвоил, для каталога Share, владелец root, группа test. Присвоил эту же группу test и владельца root для подкаталогов ./Share/001 и 002.

Сейчас права у каталога Share такие: drwxr-xr-x 5 root test 4096 мая 30 18:58 share. Убрал у group и others право записи.

У подкаталогов в частности подкаталога 001 (./Share/001) права такие: drwxrwsrwx 2 root test 4096 мая 28 20:34 001.

Получилось так что в каталоге Share, если я захожу под admin1 записи нет, т.е. каталог Share могу смотреть, но записывать, удалять и т.п. создавать подкаталоги и файлы не могу, то что нужно. Под root, конечно могу.

А вот в подкаталоге 001 все заблокировано, ничего нельзя создать и т.д.

nemo191
() автор топика

а внутри них пользователям можно удалять, создавать, вообщем, полные права. Еще нужно , чтобы в папке Share обычные пользователи не могли создавать каталоги, а только владелец.

В общем, для начала сходи почитай про «в общем» и «вообще», в чём отличие и про то, что слова «вообщем» нет.

А потом иди в гугл и читай про ACL и утилиты setfacl и getfacl командной строки. Обычными правами rwxrwxrwx (0777) ты это не настроишь.

При включении ACL можно потом настроить управление правами доступа через вкладку «Безопасность» любой машины с Windows.

kostik87 ★★★★★
()
Последнее исправление: kostik87 (всего исправлений: 1)
Ответ на: комментарий от nemo191

Если есть домен, целесообразно включить туда твою samba, настроить acl и не колотить мозг. Можно для этих целей использовать freenas какой-нибудь.

DALDON ★★★★★
()
Ответ на: комментарий от nemo191

Пытаюсь сделать настройки безопасности каталога в windows, не удается их применить. Появляется сообщение, что отказано в доступе. Подключиться к папке подключаюсь, а когда настройки применяю , то пишет что отказано в доступе.

nemo191
() автор топика
Ответ на: комментарий от nemo191

И еще , что интересно , создал файл в папке 001. Пытаюсь удалить папку, она как бы удаляется, исчезает папка,затем делаю обновление она появляется,но внутри нее все удаляется. Это все я делал в Windows.

nemo191
() автор топика
Ответ на: комментарий от DALDON

Понятно, что в ACL, только вот что делать, запутался. Подключил пользователя Admin1 в ACL: " setfacl -d -m u:admin1:rwx /Share/001 ". Но вот когда в Виндоуз пытаюсь настроить безопасность требует пароль , когда подключаю пользователей из Ubuntu, вот какой нужно вводить, администратора от UBUNTU , я пытался , но не сохраняет.

nemo191
() автор топика
Ответ на: комментарий от nemo191

Ошибка при применении параметров безопасности… Не удалось выполнить перечисление объектов в контейнере. Отказано в доступе. Это сообщение появляется когда пытаюсь в Виндоуз настроить безопасность.

nemo191
() автор топика
Ответ на: комментарий от nemo191

В настройках samba задай в параметре ‘admin users’ в секции Global укажи имена пользователей samba, которые будут иметь права администратора (root), что даст возможность изменять права доступа файлов и папок на сетевом ресурсе через оснастку «Безопасность» под Windows.

kostik87 ★★★★★
()
Ответ на: комментарий от kostik87

Добавил параметры в smb.conf, появилась возможножность изменять безопасность в среде Виндоуз. Все равно, когда пытаешься удалить не удаляемую папку , она не удаляется, а внутри нее все удаляется. Вот еще вопрос, может быть можно как-то решить иначе, виндоуз сервер, сразу не подходит, нужно что-то альтернативное, есть всякие NASы, типа True NAS, можно ли на них реализовать такую иерархию? Т.е. чтобы был корневой каталог, в нем размещались не удаляемые/не переименовываемые каталоги ( т.е. только root должен добавлять их и изменять), а внутри все пользователи обладали бы всеми правами?

nemo191
() автор топика
Ответ на: комментарий от nemo191

«Добавил параметры в smb.conf, появилась возможность изменять безопасность в среде Виндоуз.» То есть то нет, не пойму в чем причины.

nemo191
() автор топика
Ответ на: комментарий от DALDON

Хотел как в Виндоуз. Заходишь в корневую папку, в ней созданы не удаляемые папки, каждая для своей тематики. Вот для этого и хотел сделать. А так конечно, можно сделать шару по отдельности.

nemo191
() автор топика
Ответ на: комментарий от nemo191

У меня есть папка public - там гадит кто хочет, и есть папки по отделам - уже отдельными шарами.

Полагаю, задача решаема, вопрос в том, как, сказать не просто. Ибо что бы дать ответ, надо пробовать.

DALDON ★★★★★
()
Последнее исправление: DALDON (всего исправлений: 1)
Ответ на: комментарий от DALDON

А если папок шутк 10, сделаю я отдельные шары, сервер не в домене (ситуация такая), как авторизоваться? это на компе надо 10 раз авторизовываться к каждой шаре?

nemo191
() автор топика
Ответ на: комментарий от nemo191

Ну так права дай нужные через оснастку, чтобы можно было удалить не удаляемую папку. Если это нужно тебе.

kostik87 ★★★★★
()
Ответ на: комментарий от kostik87

Ты не так понял, мне нужны не удаляемые папки, это названия отделов, к примеру, а вот в них , уже у пользователя должны быть все права. В Виндоус , я делал, одну корневую, в ней создавал папки отделов, делал эти папки не удаляемыми, а в них уже любые действия для пользователя. Вот мне так надо, вот пытаюсь, не получается. Вот можете пример сделать какой-нить? Вот читал эту статью, нечто похожее http://linux.bolden.ru/samba-share/.

nemo191
() автор топика
Ответ на: комментарий от nemo191

В Виндоус , я делал, одну корневую, в ней создавал папки отделов, делал эти папки не удаляемыми, а в них уже любые действия для пользователя.

Ну так повторите то что делали под офтопиком, в смысле под офтопиком и повторите.

anc ★★★★★
()
Ответ на: комментарий от kostik87

Пробовал через оснастку, но не все комбинации разрешений сохраняются. Выбираю то что мне нужно, например ставлю галочку на в доп.настройках безопасности на «Изменение», то применение идет как Полный доступ. Когда чтение и запись, то да , сохраняет. Вообщем, решил эту статью еще раз сделать http://linux.bolden.ru/samba-share/. Проделал все как там написано, но защиты от удаления нет у подкаталогов. Может вот посмотрите этот вариант.Вроде то что нужно, но вот с удалением подкаталогов бы разобраться.

nemo191
() автор топика
Ответ на: комментарий от nemo191

Если знаешь пользователя и пароль компа, тогда будет псевдо SSO. Т.к. Windows сама отправит тебе нужные данные

DALDON ★★★★★
()
Ответ на: комментарий от nemo191

Честно говоря, понимаю , что где-то ошибаюсь, но вот еще опыта мало в UBUNTU, поэтому так вот. В виндоус просто, а тут уперся.

nemo191
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.