Re: Samba prawa dostepu help

["Artur Jankowski" <janes@hot.pl>]

"Brzy" <brzy@wp.pl> wrote:
> Witam
> 
> "chmod -R 0777 /download "
> zadziłał połowicznie tzn. mam teraz całkowity dostep do wszystkich plików 

> 
> ktore były juz w folderze /download ale jezeli przeniose cos z do niego 
> to 
> znowu nie moge tego usuwac z poziomu windowsa. Macie jakis pomysł jak to 
> 


Ja najczęściej posługuję się grupami użytkowników
smb.conf wygląda mniej więcej tak:
[share]
        path = /share
        admin users = admin
        read only = No
        create mask = 0760
        force create mode = 0660
        directory mask = 0770
        force directory mode = 0770
        oplocks = No

natomiast katalog /share to:
$ ls -l
drwxrws---    3 admin    group           96 lis 19  2002 share

Zwróć uwagę, że ten katalog i (wszystkie jego podkatalogi) mają ustawiony 
bit sgid (literka s zamiast x w bicie wykonywalności grupy, liczbowo to 
2770)   - oznacza to, że wszystkie tworzone w nich pliki i podkatalogi będą 
własnością użytkownika który je stworzył i grupy group zamiast macierzystej 
grupy użytkownika (oczywiście użytkownik musi należeć do grupy group). 
Opcja force create mode definiuje minimalne prawa (czyli bity ustawiane 
niejako "na siłę") dla nowotworzonych przez sambę plików (i analogicznie - 
force directory mode dla katalogów), natomiast create mask (i directory 
mask dla katalogów) pozwala ograniczyć te prawa(zerując odpowiednie bity). 
W ten sposób userzy należący do grupy group będą mieli pełen dostęp do 
zapisu i odczytu, natomiast pozostali zobaczą jedynie komunikat o braku 
dostępu. Oczywiście to tylko jedena z możliwości (jak to zazwyczaj w 
linuksie bywa;). Ustawiając jedynie bity odczytu (i wykonywalności dl 
akatalogów) dla pozostałych użytkowników możesz dać wszystkim żytkownikom 
prawo odczytu, natomiast członkom grupy group prawo zapisu (albo odwrotnie 
w razie potrzeby) a dostęp regulować przy pomocy opcji valid users. Opcja 
admin users nadaje określonym użytkownikom prawa roota dla danego zasobu 
samby, natomiast oplock=no standardowo ustawia się m. in. dla katalogów 
zawierających pliki dbf (z powodu błędów w ich otwieraniu i możliwości 
uszkodzenia przez programy dosowe nie znające mechanizmu blokad 
oportunistycznych).
Musisz jeszcze pamiętać o mapowaniu atrybutów dosa. Odpowiadają za nie 3 
opcje konfiguracyjne: map archive (domyślnie on), map system i map hidden 
(obie domyślnie off). Mapują one odpowiednie atrybuty na bity 
wykonywalności odpowiednio dla właściciela, grupy i wszystkich. O ile 
ustawianie bitu wykonywalności dla pliku raczej nie pociąga za sobą 
negatywnych skutków, to ustawianie ich (a prędzej zerowanie;) w przypadku 
katalogów skutkuje już udzielaniem bądź odgraniczaniem dostępu. Omówiony 
wyżej przykład zakłada pozostowienie domyślnych wartości opcji map (czyli 
samba nie obsługuje atrybutu "systemowy" i "ukryty", n atomiast wszystkie 
pliki mają zawsze ustawiony atrybut "archiwalny") - gdyż w moim przypadku 
(produkcyjne serwery udostępniające m. in. programy clipperowe) 
najważniejsza jest prosta i efektywna kontrola dostępu).
Polecam znakomitą książkę wydaną przez O'Reilly (a w Polsce bodajże przez 
ReadMe) - Using Samba http://us4.samba.org/samba/docs/using_samba/toc.html. 
W sieci można znaleźć (całkowicie legalne i darmowe) wersje elektroniczne 
zarówno oryginału, jak i wydania polskiego.

Ufff.. ale sie rozpisałem...;) mam nadzieję, że choć trochę rozjaśniłem;)

-- 
Pozdrawiam
Janes