Re: OT sobre acl y dominio AD
El 21/09/15 a las 09:49, Antonio Trujillo Carmona escribió:
> Lo marco con OT porque no es estrictamente Debian, aunque si de Linux 100%.
> En una maquina con Linux (en este caso en OEL, aunque lo he probado con
> la mias que es un Debian y se repite el comportamiento) tenemos un
> usuario local y uno de AD, el usuario de AD (u_aplicacion_scan) debe
> poder acceder por sftp a un directorio concreto con plenos privilegios
> pero a nada mas del sistema, el usuario local (oracle) también debe de
> tener acceso a ese mismo directorio.
> La solución que he implementado:
> He creado una jaula (chroot) para el usuario de AD y he montado el
> directorio (con -B) dentro de esa jaula.
> para que los dos usuarios puedan siempre escribir, cambiar de directorio
> (x) y borrar en esa carpeta he usado ACL.
> El resultado es que lo que escribe oracle el usuario de AD lo ve pero lo
> que escribe el usuario de AD oracle no lo ve, es algo incomprensible,
> por ejemplo ea-local es visto por los 2 pero ea-u solo es visto por el
> usuario de AD, os mando lo que he podio sacar por si alguien me puede
> dar luz:
>
> #mount
> /mnt/imagenes/soria on /home/jaula/u_aplicacion_scansor/soria type none
> (rw,bind,acl)
>
> # ls -l /mnt/imagenes/soria
> total 48
> drwxrwxrwx+ 2 oracle
> oinstall 6 sep 21 09:41 ea-local
> drwxrwxrwx+ 2 u_aplicacion_scansor usuarios del dominio 6 sep
> 17 13:55 ea-u
> -rw-rw-rw-+ 1 u_aplicacion_scansor usuarios del dominio 38319 sep 21
> 09:21 Pantallazo-10.png
>
>
> # ls -l /home/jaula/aplicacion_scansoria/soria
> total 48
> drwxrwxrwx+ 2 oracle
> oinstall 6 sep 21 09:41 ea-local
> drwxrwxrwx+ 2 u_aplicacion_scansor usuarios del dominio 6 sep
> 17 13:55 ea-u
> -rw-rw-rw-+ 1 u_aplicacion_scansor usuarios del dominio 38319 sep 21
> 09:21 Pantallazo-10.png
>
> # getfacl /mnt/imagenes/soria
> getfacl: Eliminando '/' inicial en nombres de ruta absolutos
> # file: mnt/imagenes/soria
> # owner: root
> # group: root
> user::rwx
> user:oracle:rwx
> user:u_aplicacion_scansor:rwx
> group::rwx
> mask::rwx
> other::rwx
> default:user::rwx
> default:user:oracle:rwx
> default:user:u_aplicacion_scansor:rwx
> default:group::rwx
> default:mask::rwx
> default:other::rwx
>
> # getfacl /home/jaula/u_aplicacion_scansor/soria
> getfacl: Eliminando '/' inicial en nombres de ruta absolutos
> # file: home/jaula/u_aplicacion_scansor/soria
> # owner: root
> # group: root
> user::rwx
> user:oracle:rwx
> user:u_aplicacion_scansor:rwx
> group::rwx
> mask::rwx
> other::rwx
> default:user::rwx
> default:user:oracle:rwx
> default:user:u_aplicacion_scansor:rwx
> default:group::rwx
> default:mask::rwx
> default:other::rwx
>
> # getfacl /home/jaula/u_aplicacion_scansor/soria/ea-local/
> getfacl: Eliminando '/' inicial en nombres de ruta absolutos
> # file: home/jaula/u_aplicacion_scansor/soria/ea-local/
> # owner: oracle
> # group: oinstall
> user::rwx
> user:oracle:rwx
> user:u_aplicacion_scansor:rwx
> group::rwx
> mask::rwx
> other::rwx
> default:user::rwx
> default:user:oracle:rwx
> default:user:u_aplicacion_scansor:rwx
> default:group::rwx
> default:mask::rwx
> default:other::rwx
>
> # getfacl /home/jaula/u_aplicacion_scansor/soria/ea-u/
> getfacl: Eliminando '/' inicial en nombres de ruta absolutos
> # file: home/jaula/u_aplicacion_scansor/soria/ea-u/
> # owner: u_aplicacion_scansor
> # group: usuarios\040del\040dominio
> user::rwx
> user:oracle:rwx
> user:u_aplicacion_scansor:rwx
> group::rwx
> mask::rwx
> other::rwx
> default:user::rwx
> default:user:oracle:rwx
> default:user:u_aplicacion_scansor:rwx
> default:group::rwx
> default:mask::rwx
> default:other::rwx
>
>
>
Se me olvidaba, he usado filezilla para la conexión sftp y este caso
solo ocurre por sftp, es decir el usuario oracle en local si ve todo,
pero por sftp no (he probado con "filezilla" y desde una maquina windows
con el "coreftp").
Reply to: