Консультации Портала - Консультация #170107

Задать вопрос Консультации Пользователи Форум

Задать вопрос экспертам

Консультация № 170107

02.07.2009, 20:24

0.00 руб.

0 9 1

Компьютеры Программное обеспечение Операционные системы

Мне необходимо настроить на файловом сервере (Fedora) самбу таким образом, чтобы юзеры пяти раб. станций имели полный доступ к каталогу самба, а юзер шестой раб. станции - только права редактирования. Скажите - как оптимально это сделать? на кажой раб. машине - по одному юзеру только; возможно ли это сделать по ip адресу? чтобы обеспечить прозрачность аутентификации? большАя степень приватности не нужна, удобство в данном случае - на первом месте.
На всех машинах, кроме сервера - XP.

Обсуждение

Неизвестный

03.07.2009, 02:02

общий

Rishard:
Возможно, шестой пользователь должен иметь права только на чтение? А не на редактирование?

Неизвестный

03.07.2009, 09:11

общий

это ответ

Здравствуйте, Rishard!
можно сделать несколько дисков самбой.
в smb.conf
к примеру
....
[first]
comment = Temporary Common Share
path = ПУТЬ К РЕАЛЬНОМУ РАСПОЛОЖЕНИЮ
valid users = +first
force group = +first
read only = No
create mask = 0774
directory mask = 0775
[second]
comment = second
path = ПУТЬ К РЕАЛЬНОМУ РАСПОЛОЖЕНИЮ
valid users = +first +second
read only = No
create mask = 0774
directory mask = 0775

нужных в пользователей раскидать в группы first , second . в скрипт их логина добавить монтирование доступных дисков. и тогда одни будут видеть 2 диска, а группа second - один.

если же всё это нужно сделать на единственном разделе, то все равно нужно раскидать их по группам. а затем выставить рекурсивно права на файлы типа

sudo chown -R root:first ПУТЬ К РЕАЛЬНОМУ РАСПОЛОЖЕНИЮ
sudo chmod -R 755 ПУТЬ К РЕАЛЬНОМУ РАСПОЛОЖЕНИЮ

Неизвестный

03.07.2009, 10:59

общий

Шестой может редактировать, но не удалять файлы.
------
А по ip, стало быть, невозможно?

Неизвестный

04.07.2009, 18:51

общий

razor
Я правильно вас понял - самба позволяет доступ всем зарегистрированным пользователям, а права назначаются выставлением sudo chmod -R для двух разл. групп? это напоминает - в свойствах папки (под win) доступ - для всех, а реально права разруливаются на уровне ntfs.
Так?

Неизвестный

06.07.2009, 12:24

общий

самба дает возможность дать или не дать возможности смотреть конкретную свою шару конкретным группам\пользователям.
но права смотреть или править или еще что-то - это уже на уровне прав на сами файлы\папки.

Неизвестный

06.07.2009, 12:30

общий

возможно ли решить эту проблему через ACL ?
Как это делается?

Неизвестный

06.07.2009, 12:48

общий

как я уже выше писал, путем АСЛ можно регулировать
valid users = +first - группа, которая имеет право на шару
force group = +first - принудительное форсирование группы
read only = No - понятно
create mask = 0774 - маска создания файлов. при указанной будут создавацца файлы, которые полностью могут управляться владельцем и группой, в которую он входит + иные смогут его читать
directory mask = 0775 - тоже самое что и описано ранее, но для каталогов

Неизвестный

07.07.2009, 02:46

общий

Вообще, можно задать разрешения на чтение/редактирование и средствами Samba
Для этого есть директива write list
Например, следующее определение:

[share]
comment = Some directory
path = /data1/share
browseable = yes
available = yes
valid users = @"Domain users", @"Domain admins"
read only = yes
write list = @"Domain admins"

В итоге к ресурсу share будут иметь доступ члены групп Domain users, Domain admins
Но доступ на редактирование - только члены группы Domain admins

Неизвестный

07.07.2009, 03:16

общий

Что же касается запрета именно на удаление, то тут все сложнее и без разрешений на уровне ФС не обойтись
Идея состоит в том, чтобы дать пользователю права на запись в файл, и отобрать права на запись в директорию (поскольку удаление файла это грубо говоря запись в каталог предыдущего уровня)
Можно сделать примерно так:
chown -R user:group /data1/share
find /usr/share -type f -exec chmod 664 {} \;
find /usr/share -type d -exec chmod 775 {} \;
В описание шары в smb.conf нужно добавить
create mask = 0664
directory mask = 0775
В итоге пользователь user и члены группы group будут иметь полные права
Те же, кто в эту группу не входит, смогут редактировать файлы, но не удалять. Кстати, создавать файлы они тоже не смогут

Форма ответа

Отправка постов/ответов доступна только зарегистрированным и подтвержденным пользователям.

Если Вы уже зарегистрированы на Портале - войдите в систему, если Вы еще не регистрировались - пройдите простую процедуру регистрации.