LINUX.ORG.RU
ФорумAdmin

Сетевые папки, доступ.

 , ,


1

1

Здравствуйте. Подскажите пожалуйста, как можно сделать иерархию доступа к сетевым папкам на samba, нужно для пользователей Windows.

Share—- ——- 001 ——- 002

Вход через папку Share, там несколько папок 001 и 002, которые нельзя удалять пользователям, а внутри них пользователям можно удалять, создавать, вообщем, полные права. Еще нужно , чтобы в папке Share обычные пользователи не могли создавать каталоги, а только владелец. Я так понимаю этой папке надо присвоить chmod 700 ~/Share?

Создал под root папки Share (drwxrwsrwx), 001 (drwxrwsrwx), 002 (drwxrwsrwx).

В папки 001 и 002 добавил скрытый файл (применил chattr +i, чтобы эти папки нельзя было стереть). Внутри папок 001 и 002 создал тестовые файлы. Когда подымаешься на уровень папки Share и пытаешься удалить папки 001 и 002, получается что внутри все файлы,удаляются, скрытый файл нет.

Вот бьюсь уже месяц , не получается совсем. В Ubuntu новичок, пытаюсь освоить, но вот нужен совет или помощь, может пример какой-то). Спасибо



Последнее исправление: nemo191 (всего исправлений: 2)

Ответ на: комментарий от nemo191

дык так и пиши сразу. в среде виндовс ничего нет, кроме самбы.

ничего непонятно зачем это вот все. если пользователю не разрешен доступ на запись в папку «-w» share, то он не сможет ни создать ни удалить ни изменить никакое имя внутри папки (+w для папки это изменение списка файлов внутри папки).
разреши для Share r-x для всех а то внутрь никто не войдет.

на сами папки 001 002 доступ +w для пользователя, из-под которого входит самба-пользователь.

зачем файл с +i внутри папки ??
что в итоге не получается-то ??

pfg ★★★★★
()
Последнее исправление: pfg (всего исправлений: 1)
Ответ на: комментарий от nemo191

Мне нужно сделать так чтобы в корневом каталоге находились подкаталоги, которые не могут удалить пользователи, кроме владельца (root), а уже в подкаталогах , у пользователей были все права.

nemo191
() автор топика
Ответ на: комментарий от nemo191

Я прошу прощения, за сумбур, пытаюсь понять эту Sambу, но не очень все получается, брал примеры с сайтов, потом пытался под себя делать.

Вот smb.conf мой

[Share] comment = Everyone in the groupA path = /samba/Share browseable = yes read only = no force create mode = 0770 force directory mode = 2770 valid users = @groupA,user1

У Share 777 счас поставил.

nemo191
() автор топика
Ответ на: комментарий от nemo191

если ты не имешь прав «на запись» в папку Share ты не сможешь удалить вложенные в эту папку файлы.
файл излишен.

запрети запись для остальных, ну и группы, для папки Share «chmod go-w ./Share». тогда никто не сможет изменить или удалить файлы находящиеся в ней, кроме владельца. ну и изменить атрибуты.

а вот уже для вложенных папок дай все доступы. «chmod a+rwx ./Share/001 ./Share/002» и тогда пользователи могут все, что угодно внутри ./Share/001 ./Share/002

рассматривай папку как текстовый файл со списком, содержащим имена и атрибуты файлов и папок, входящих в эту папку.
нет записи в список - ничего не сможешь с ним сделать.

pfg ★★★★★
()
Последнее исправление: pfg (всего исправлений: 1)
Ответ на: комментарий от pfg

Вот что сделал: Создал группу test, в нее добавил пользователей admin1, admin2. Группу присвоил, для каталога Share, владелец root, группа test. Присвоил эту же группу test и владельца root для подкаталогов ./Share/001 и 002.

Сейчас права у каталога Share такие: drwxr-xr-x 5 root test 4096 мая 30 18:58 share. Убрал у group и others право записи.

У подкаталогов в частности подкаталога 001 (./Share/001) права такие: drwxrwsrwx 2 root test 4096 мая 28 20:34 001.

Получилось так что в каталоге Share, если я захожу под admin1 записи нет, т.е. каталог Share могу смотреть, но записывать, удалять и т.п. создавать подкаталоги и файлы не могу, то что нужно. Под root, конечно могу.

А вот в подкаталоге 001 все заблокировано, ничего нельзя создать и т.д.

nemo191
() автор топика

а внутри них пользователям можно удалять, создавать, вообщем, полные права. Еще нужно , чтобы в папке Share обычные пользователи не могли создавать каталоги, а только владелец.

В общем, для начала сходи почитай про «в общем» и «вообще», в чём отличие и про то, что слова «вообщем» нет.

А потом иди в гугл и читай про ACL и утилиты setfacl и getfacl командной строки. Обычными правами rwxrwxrwx (0777) ты это не настроишь.

При включении ACL можно потом настроить управление правами доступа через вкладку «Безопасность» любой машины с Windows.

kostik87 ★★★★★
()
Последнее исправление: kostik87 (всего исправлений: 1)
Ответ на: комментарий от nemo191

Пытаюсь сделать настройки безопасности каталога в windows, не удается их применить. Появляется сообщение, что отказано в доступе. Подключиться к папке подключаюсь, а когда настройки применяю , то пишет что отказано в доступе.

nemo191
() автор топика
Ответ на: комментарий от nemo191

И еще , что интересно , создал файл в папке 001. Пытаюсь удалить папку, она как бы удаляется, исчезает папка,затем делаю обновление она появляется,но внутри нее все удаляется. Это все я делал в Windows.

nemo191
() автор топика
Ответ на: комментарий от DALDON

Понятно, что в ACL, только вот что делать, запутался. Подключил пользователя Admin1 в ACL: " setfacl -d -m u:admin1:rwx /Share/001 ". Но вот когда в Виндоуз пытаюсь настроить безопасность требует пароль , когда подключаю пользователей из Ubuntu, вот какой нужно вводить, администратора от UBUNTU , я пытался , но не сохраняет.

nemo191
() автор топика
Ответ на: комментарий от nemo191

Ошибка при применении параметров безопасности… Не удалось выполнить перечисление объектов в контейнере. Отказано в доступе. Это сообщение появляется когда пытаюсь в Виндоуз настроить безопасность.

nemo191
() автор топика
Ответ на: комментарий от nemo191

В настройках samba задай в параметре ‘admin users’ в секции Global укажи имена пользователей samba, которые будут иметь права администратора (root), что даст возможность изменять права доступа файлов и папок на сетевом ресурсе через оснастку «Безопасность» под Windows.

kostik87 ★★★★★
()
Ответ на: комментарий от kostik87

Добавил параметры в smb.conf, появилась возможножность изменять безопасность в среде Виндоуз. Все равно, когда пытаешься удалить не удаляемую папку , она не удаляется, а внутри нее все удаляется. Вот еще вопрос, может быть можно как-то решить иначе, виндоуз сервер, сразу не подходит, нужно что-то альтернативное, есть всякие NASы, типа True NAS, можно ли на них реализовать такую иерархию? Т.е. чтобы был корневой каталог, в нем размещались не удаляемые/не переименовываемые каталоги ( т.е. только root должен добавлять их и изменять), а внутри все пользователи обладали бы всеми правами?

nemo191
() автор топика
Ответ на: комментарий от DALDON

Хотел как в Виндоуз. Заходишь в корневую папку, в ней созданы не удаляемые папки, каждая для своей тематики. Вот для этого и хотел сделать. А так конечно, можно сделать шару по отдельности.

nemo191
() автор топика
Ответ на: комментарий от nemo191

У меня есть папка public - там гадит кто хочет, и есть папки по отделам - уже отдельными шарами.

Полагаю, задача решаема, вопрос в том, как, сказать не просто. Ибо что бы дать ответ, надо пробовать.

DALDON ★★★★★
()
Последнее исправление: DALDON (всего исправлений: 1)
Ответ на: комментарий от DALDON

А если папок шутк 10, сделаю я отдельные шары, сервер не в домене (ситуация такая), как авторизоваться? это на компе надо 10 раз авторизовываться к каждой шаре?

nemo191
() автор топика
Ответ на: комментарий от kostik87

Ты не так понял, мне нужны не удаляемые папки, это названия отделов, к примеру, а вот в них , уже у пользователя должны быть все права. В Виндоус , я делал, одну корневую, в ней создавал папки отделов, делал эти папки не удаляемыми, а в них уже любые действия для пользователя. Вот мне так надо, вот пытаюсь, не получается. Вот можете пример сделать какой-нить? Вот читал эту статью, нечто похожее http://linux.bolden.ru/samba-share/.

nemo191
() автор топика
Ответ на: комментарий от nemo191

В Виндоус , я делал, одну корневую, в ней создавал папки отделов, делал эти папки не удаляемыми, а в них уже любые действия для пользователя.

Ну так повторите то что делали под офтопиком, в смысле под офтопиком и повторите.

anc ★★★★★
()
Ответ на: комментарий от kostik87

Пробовал через оснастку, но не все комбинации разрешений сохраняются. Выбираю то что мне нужно, например ставлю галочку на в доп.настройках безопасности на «Изменение», то применение идет как Полный доступ. Когда чтение и запись, то да , сохраняет. Вообщем, решил эту статью еще раз сделать http://linux.bolden.ru/samba-share/. Проделал все как там написано, но защиты от удаления нет у подкаталогов. Может вот посмотрите этот вариант.Вроде то что нужно, но вот с удалением подкаталогов бы разобраться.

nemo191
() автор топика