samba+práva

[Vasek Stodulka]

On Tue, 31 May 2005 07:16:14 GMT, Milan Ježek <milan.jezek na bierhanzl.cz> wrote:

>  Dobrý den,
>  chtěl jsem se jen ujistit, zda jsem správně pochopil, přidělování 
>  přístupovách práv na sambě. V smb.conf dám práva na sdílení. Na 
>  jednotlivé adresáře potom dám právo přes Linux (vlastník + skupina). Ale 
>  zde možnost přidělení práv podle mne končí. Nebo ne? Mohu přidělit 
>  práávo na poddaresáře pro různé skupiny (několik skupin na adresář)? 
>  Jednu skupinu určitě ale více asi ne. To by potom asi znamenalo vytvářet 
>  množství skupin podle adresářů. Pochopil jsem to správně?

	V podstate ano, puvodni filosofie UNIXovych prav je skutecne smerem
vytvareni skupin podle adresaru (zjednodusene receno).

	Pokud chcete mit vice prav na jednom objektu (soubor, adresar), tak
potrebujete ACL. Samba s ACL pracovat umi a funguje to dobre. Potrebujete
ACL filesystem - patchnutou ext3 nebo lepe XFS, mozna to umi nejake dalsi FS
(no flame, please, kdyztak konstruktivne doporucit). Pak potrebujete ACL
verzi glibc knihovny (ted doufam, ze nekecam) a pak pak jeste setfacl a
getfacl - vsechno by melo byt v novejsich distribucich, teda krome patchnute
ext3.

	Z Windows to pak jde ovladat pravym cudlikem mysi na objektu ->
-> vlastnosti -> zabezpeceni a tam si vyklikat konkretni prava (jako admin,
samozrejme). Toto funguje s omezenimi i bez ACL, hodi se to treba pro
sdileny /tmp, doporucuju prozkoumat.

	Windows jsou s ACL jeste o kousek dal a umi "dedicnost", kdy
podobjekty v adresari dedi prava od nadrazeneho adresare. Koncept UNIXovych
ACL tento princip neobsahuje a Samba se snazi toto chovani emulovat. Je
potreba jit pres vyse popsany pravy cudlik -> vlastnosti -> zabezpeceni.

	Kazdopadne jednodussi mi prijde vytvorit si vic sdilenych slozek
a pridelit skupinam prava do techto slozek pres (in)valid users, skupina se
zadava s "@", viz man smb.conf. Prinejmensim se to lip audituje.

	Doufam, ze to jako nastrel staci, pekny den.

-- 
Vašek Stodůlka
tel.: +420 608 200 860