LINUX.ORG.RU
ФорумAdmin

Samba и доступ к шарам только для определенных групп


0

0

Всем доброго времени суток. Проблема такая: стоит сервер с самбой. Нужно сделать так, чтоб разным юзерам показывались разные ресурсы на сервере. Например: есть 2 группы юзеров, простые пользователи и бухгалетрия. Необходимо сделать так, чтоб обычные пользователи при заходе на сервер не видели папку "Бухгалтерия". Сеть с доменом, правка домена как раз полным ходом=) Застопорился на показе/скрытие необходимых шар. Покурил маны по самбе, но не нашел, какая опция может отвечать за такое...полагаю что должно быть что-то типа valid browseable group = @nt_buhs в smb.conf, но что-то не канает=( В netlogon есть скрипт nt_buhs.bat такого содержания:

net time \\DC /set yes net use z: \\DC\docs net use y: \\DC\Buhs$

Символ $ вставил от мысли, что ресурс будет скрыт виндовым машинам (есессно с $ прописывал в smb.comf) и необходимая папка будет монтироваться при логине пользователя, но почему-то монтирования скрытого сетевого устройства как диска "y" не происходит. Соответственно, юзеры, входящие группу nt_buhs не видят его на сервере. Подскажите кто знает, где копать? может что знает синтаксис комманды для самбы для валидной группы? Спасибо.

★★

>Символ $ вставил от мысли, что ресурс будет скрыт виндовым машинам ...но почему-то монтирования скрытого сетевого устройства как диска "y" не происходит

Это довольно странно, у меня монтируются без проблем, уже 3 года. Настраивал сам, дело было давно, но больших проблем не вызвало. Единственное я не очень понял вот это:(есессно с $ прописывал в smb.comf)

pylon
()
Ответ на: комментарий от pylon

Я имел ввиду, что при описании шары в smb.conf прописывал вместе с $, чтоб ресурс был скрытым.Ну например

[Buhs$]
comment = bla bla bla
path = /var/data/Buhs

dgeliko ★★
() автор топика
Ответ на: комментарий от dgeliko

ресурс с долларом для самбы он будет обычным - для виндов - неотображаемым - но не скрытым то есть если его кто то открывал или набрал в строке путь с $ - он откроется

я с давних пор,ещё когда самба не знала нескольких групп, решал эту проблему таким образом :

[buh$]

path=/home/buh/%I/

вместо %I самба побставляет ip клиента

реальная папка для бухгалтерии /home/buh/real/

плюс в папке /home/buh/ лежат симлинки на каталог real, но с имена симлинков - это айпишники тех кому разрешено туда ходить

в принципе в самбе ещё много параметнров типа %I

так что можешь не только айпишниками ограничить

остальные фиг попадут - проверено

Astin
()

хм, а что плохого в том, что другие юзера увидят шару "Бухгалтерия", зайти-то на нее они не смогут?

anti_social
()
Ответ на: комментарий от Astin

2Astin:
Ну и нагорожено всего %). Неужели стандартными средствами самбы это нельзя как-то организовать?

2anti_social:
Да собственно ничего такого, что будет показана эта папка. Но организация имеет много отделов и подотделов, и в конечном итоге просто эстетически неприятно будет глазеть на сервер, захламленный папками. Гораздно удобней, когда юзеры видят только те папки, которые им нужны, и им не приходится ковырятся в куче различных шар, для того чтоб найти им необходимую.

dgeliko ★★
() автор топика
Ответ на: комментарий от dgeliko

ну, а если поставить security=user, создать пользователей и указать для каждого домашние каталоги или просто присвоить права на сервере нужным каталогам?

Envel ★★★
()
Ответ на: комментарий от Envel

>ну, а если поставить security=user, создать пользователей и указать для каждого домашние каталоги или просто присвоить права на сервере нужным каталогам?

ну собственно так и реализовано, у каждого пользователя есть свой домашний каталог, который он видит при заходе на сервер, на сервере необходимым папкам присвоены нужные права и группы. Проблема то в том, что шары эти видны всем, вот я и спрашиваю, как то реализовывается средствами самбы показ/скрытие ресурсов в зависимости от группы, к которой юзер пренадлежит.

dgeliko ★★
() автор топика
Ответ на: комментарий от dgeliko

2 dgeliko

чего там нагорожено то ? добавил симлинк - добавился доступ - убрал убрался что пользователей в другие файлы или базы прописывать что сюда

человек спросил совета ему написали как у меня, не из теории и из практики многолетней - понравится сделает, нет пусть спасибо скажет за вариант

еще раз повторюсь - это было сделано еще когда в самба была первых версий не то что авторизации поддерживалась только одна рабочая группа... все работало ... работает и сейчас. а если работает - о фиг ли трогать ? и пока работает нет даже желания разбираться в валидности групп самбы - синхронизации и т.п. появится проблема - что то будет не устраивать будем решать по мере поступления...

Astin
()
Ответ на: комментарий от Astin

2Astin
>чего там нагорожено то ? добавил симлинк - добавился доступ - убрал убрался что пользователей в другие файлы или базы прописывать что сюда


Это конечно все хорошо, когда компов не сильно много, а когда их под сотню? и не каждый юзер сидит каждый день на своей машине? каждый раз перекидывать симлинки? имхо для малой сети мож и прокатит, а для сетки около 50 или больше машин это уже напряжно будет, так что, имхо, лучше разобраться с валидностью групп. Вот уж точно тогда - настроил и забыл

А так конечно спасибо за совет;-)

dgeliko ★★
() автор топика
Ответ на: комментарий от dgeliko

Всем спасибо за участие в трейде. Решил пока все пока что просто и по-мутантски:
прописал в нужных папках в smb.conf

browseable = no
writeble = yes

Т.е. общий конфиг папки принял такой вид:


[Urist]
comment = Юридический Отдел
path = /var/data/Urist
writable = yes
browseable = no
valid users = @nt_urist

При настройке скрипта nt_urist в netlogon такого содержания:

net time \\DC /set /yes
net use z: \\DC\docs
net use y: \\DC\Urist

Получается, что диски автоматом монтируются только юзерам, входящим (в данном примере) в группу nt_urist. Таким образом, поправив конфиги всех нетлогонов, примонтировал все диски, необходимые юзерам разных уровней доступа.
Всем спасибо еще раз, тема закрыта.

dgeliko ★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.