Re: Samba prawa dostepu help
"Brzy" <brzy@wp.pl> wrote:
> Witam
>
> "chmod -R 0777 /download "
> zadziłał połowicznie tzn. mam teraz całkowity dostep do wszystkich plików
>
> ktore były juz w folderze /download ale jezeli przeniose cos z do niego
> to
> znowu nie moge tego usuwac z poziomu windowsa. Macie jakis pomysł jak to
>
Ja najczęściej posługuję się grupami użytkowników
smb.conf wygląda mniej więcej tak:
[share]
path = /share
admin users = admin
read only = No
create mask = 0760
force create mode = 0660
directory mask = 0770
force directory mode = 0770
oplocks = No
natomiast katalog /share to:
$ ls -l
drwxrws--- 3 admin group 96 lis 19 2002 share
Zwróć uwagę, że ten katalog i (wszystkie jego podkatalogi) mają ustawiony
bit sgid (literka s zamiast x w bicie wykonywalności grupy, liczbowo to
2770) - oznacza to, że wszystkie tworzone w nich pliki i podkatalogi będą
własnością użytkownika który je stworzył i grupy group zamiast macierzystej
grupy użytkownika (oczywiście użytkownik musi należeć do grupy group).
Opcja force create mode definiuje minimalne prawa (czyli bity ustawiane
niejako "na siłę") dla nowotworzonych przez sambę plików (i analogicznie -
force directory mode dla katalogów), natomiast create mask (i directory
mask dla katalogów) pozwala ograniczyć te prawa(zerując odpowiednie bity).
W ten sposób userzy należący do grupy group będą mieli pełen dostęp do
zapisu i odczytu, natomiast pozostali zobaczą jedynie komunikat o braku
dostępu. Oczywiście to tylko jedena z możliwości (jak to zazwyczaj w
linuksie bywa;). Ustawiając jedynie bity odczytu (i wykonywalności dl
akatalogów) dla pozostałych użytkowników możesz dać wszystkim żytkownikom
prawo odczytu, natomiast członkom grupy group prawo zapisu (albo odwrotnie
w razie potrzeby) a dostęp regulować przy pomocy opcji valid users. Opcja
admin users nadaje określonym użytkownikom prawa roota dla danego zasobu
samby, natomiast oplock=no standardowo ustawia się m. in. dla katalogów
zawierających pliki dbf (z powodu błędów w ich otwieraniu i możliwości
uszkodzenia przez programy dosowe nie znające mechanizmu blokad
oportunistycznych).
Musisz jeszcze pamiętać o mapowaniu atrybutów dosa. Odpowiadają za nie 3
opcje konfiguracyjne: map archive (domyślnie on), map system i map hidden
(obie domyślnie off). Mapują one odpowiednie atrybuty na bity
wykonywalności odpowiednio dla właściciela, grupy i wszystkich. O ile
ustawianie bitu wykonywalności dla pliku raczej nie pociąga za sobą
negatywnych skutków, to ustawianie ich (a prędzej zerowanie;) w przypadku
katalogów skutkuje już udzielaniem bądź odgraniczaniem dostępu. Omówiony
wyżej przykład zakłada pozostowienie domyślnych wartości opcji map (czyli
samba nie obsługuje atrybutu "systemowy" i "ukryty", n atomiast wszystkie
pliki mają zawsze ustawiony atrybut "archiwalny") - gdyż w moim przypadku
(produkcyjne serwery udostępniające m. in. programy clipperowe)
najważniejsza jest prosta i efektywna kontrola dostępu).
Polecam znakomitą książkę wydaną przez O'Reilly (a w Polsce bodajże przez
ReadMe) - Using Samba http://us4.samba.org/samba/docs/using_samba/toc.html.
W sieci można znaleźć (całkowicie legalne i darmowe) wersje elektroniczne
zarówno oryginału, jak i wydania polskiego.
Ufff.. ale sie rozpisałem...;) mam nadzieję, że choć trochę rozjaśniłem;)
--
Pozdrawiam
Janes
Reply to: