URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 2574
[ Назад ]

Исходное сообщение
"Samba + расширенные возможности управления доступом"
Отправлено PashaTurok , 29-Янв-13 10:41

Посоветуйте, пожалуйста, кто знает. Самба - это конечно круто, но как выполнить следующую задачу на самбе. Есть папка clients, в ней две папки client1, client2. Есть три сотрудника - руководитель, менеджер1, менеджер2. Руководитель должен rwx все папки, менеджер1 только client1, менеджер2 только client2. А если еще сложнее ситуация? Как я понимаю, простой самбой здесь не обойтись. Может есть какой-то плагин или демон - интерфейс. Интересует только бесплатное ПО.

Содержание

Samba + расширенные возможности управления доступом,Moomintroll, 11:31 , 29-Янв-13
- Samba + расширенные возможности управления доступом,Moomintroll, 11:38 , 29-Янв-13
  - Samba + расширенные возможности управления доступом,PashaTurok, 18:18 , 29-Янв-13
    - Samba + расширенные возможности управления доступом,sasku, 10:44 , 30-Янв-13
      - Samba + расширенные возможности управления доступом,PashaTurok, 16:41 , 14-Фев-13
        
        Samba + расширенные возможности управления доступом,PashaTurok, 18:49 , 14-Фев-13
        
        Samba + расширенные возможности управления доступом,PashaTurok, 10:33 , 15-Фев-13

Сообщения в этом обсуждении

"Samba + расширенные возможности управления доступом"
Отправлено Moomintroll , 29-Янв-13 11:31

> Посоветуйте, пожалуйста, кто знает. Самба - это конечно круто, но как выполнить
> следующую задачу на самбе. Есть папка clients, в ней две папки
> client1, client2. Есть три сотрудника - руководитель, менеджер1, менеджер2. Руководитель
> должен rwx все папки, менеджер1 только client1, менеджер2 только client2. А
> если еще сложнее ситуация? Как я понимаю, простой самбой здесь не
> обойтись. Может есть какой-то плагин или демон - интерфейс. Интересует только
> бесплатное ПО.
Как раз самбой и обойтись.
Старые самбы отображали NT ACL в Posix ACL - было угрюмо, но работоспособно. Новые самбы умеют хранить NT ACL в xattr на файловой системе или в собственной БД (tdb). См., если мне не изменяет склероз, "acl backend".
Во всех случаях права раздаются стандартными виндовыми средствами (на виндовом же клиенте) пользователем(-ми), входящим в "admin users"

"Samba + расширенные возможности управления доступом"
Отправлено Moomintroll , 29-Янв-13 11:38

> См., если мне не изменяет склероз, "acl backend".
Изменяет. Это модули VFS:
The vfs_acl_tdb VFS module stores NTFS Access Control Lists (ACLs) in a tdb file. This enables the full mapping of Windows ACLs on Samba servers.
The ACL settings are stored in $LOCKDIR/file_ntacls.tdb.
Please note that this module is experimental!
И для xattr:
The vfs_acl_xattr VFS module stores NTFS Access Control Lists (ACLs) in Extended Attributes (EAs). This enables the full mapping of Windows ACLs on Samba servers.
The ACLs are stored in the Extended Attribute security.NTACL of a file or directory. This Attribute is not listed by getfattr -d filename. To show the current value, the name of the EA must be specified (e.g. getfattr -n security.NTACL filename ).
Please note that this module is experimental!

"Samba + расширенные возможности управления доступом"
Отправлено PashaTurok , 29-Янв-13 18:18

>[оверквотинг удален]
> Please note that this module is experimental!
> И для xattr:
> The vfs_acl_xattr VFS module stores NTFS Access Control Lists (ACLs) in Extended
> Attributes (EAs). This enables the full mapping of Windows ACLs on
> Samba servers.
> The ACLs are stored in the Extended Attribute security.NTACL of a file
> or directory. This Attribute is not listed by getfattr -d filename.
> To show the current value, the name of the EA must
> be specified (e.g. getfattr -n security.NTACL filename ).
> Please note that this module is experimental!
А вы не могли бы на пальцах объяснить архитектуру как это все взаимосвязано?

"Samba + расширенные возможности управления доступом"
Отправлено sasku , 30-Янв-13 10:44

>[оверквотинг удален]
>> The vfs_acl_xattr VFS module stores NTFS Access Control Lists (ACLs) in Extended
>> Attributes (EAs). This enables the full mapping of Windows ACLs on
>> Samba servers.
>> The ACLs are stored in the Extended Attribute security.NTACL of a file
>> or directory. This Attribute is not listed by getfattr -d filename.
>> To show the current value, the name of the EA must
>> be specified (e.g. getfattr -n security.NTACL filename ).
>> Please note that this module is experimental!
> А вы не могли бы на пальцах объяснить архитектуру как это все
> взаимосвязано?
в fstab добавляешь параметр user_xattr:
/dev/sda1 /serv ext3 defaults,noatime,user_xattr 1 2
в smb.conf:
vfs objects = acl_xattr

"Samba + расширенные возможности управления доступом"
Отправлено PashaTurok , 14-Фев-13 16:41

Правильно ли я понимаю, что комманда setfacl должна работать только в том случае, если есть параметр user_axattr? Что меня смутило, так как это то, что это комманда работает (соответственно getfacl показывает реальные изменения), а этот атрибут не установлен. ОС - centos 6.3
Что есть в /etc/fstab
/dev/mapper/vg_00-home /home ext4 defaults
менялся файл /home/aaa.txt - все работает. Как это понять?

"Samba + расширенные возможности управления доступом"
Отправлено PashaTurok , 14-Фев-13 18:49

Все, с этим разобрался. Хитрость, что xattr и POSIX ACL разные вещи, самба использует и то и то одновременно.
Последнее, что не могу понять, если я подключаюсь к самба share из убунту, то как я могу редактировать права доступа к определенному файлу/папке. Когда делаю правый клик, права - там написано - не удалось определить права доступа к ...

"Samba + расширенные возможности управления доступом"
Отправлено PashaTurok , 15-Фев-13 10:33

Подскажите пожалуйста, а то очень нужно!