SOLUCIONADO Re: OT sobre acl y dominio AD

To: debian-user-spanish@lists.debian.org
Subject: SOLUCIONADO Re: OT sobre acl y dominio AD
From: Antonio Trujillo Carmona <antonio.trujillo.sspa@juntadeandalucia.es>
Date: Tue, 22 Sep 2015 12:53:09 +0200
Message-id: <[🔎] 56013315.7050706@juntadeandalucia.es>
In-reply-to: <[🔎] pan.2015.09.21.13.50.08@gmail.com>
References: <[🔎] 55FFB677.5030403@juntadeandalucia.es> <[🔎] 55FFB815.9070701@juntadeandalucia.es> <[🔎] pan.2015.09.21.13.50.08@gmail.com>

El 21/09/15 a las 15:50, Camaleón escribió:
> El Mon, 21 Sep 2015 09:56:05 +0200, Antonio Trujillo Carmona escribió:
>
>> El 21/09/15 a las 09:49, Antonio Trujillo Carmona escribió:
> (...)
>
>>> He creado una jaula (chroot) para el usuario de AD y he montado el
>>> directorio (con -B) dentro de esa jaula.
>>> para que los dos usuarios puedan siempre escribir, cambiar de
>>> directorio (x) y borrar en esa carpeta he usado ACL.
>>> El resultado es que lo que escribe oracle el usuario de AD lo ve pero
>>> lo que escribe el usuario de AD oracle no lo ve, es algo
>>> incomprensible,
>>> por ejemplo ea-local es visto por los 2 pero ea-u solo es visto por el
>>> usuario de AD,  os mando lo que he podio sacar por si alguien me puede
>>> dar luz:
>>>
>>> #mount /mnt/imagenes/soria on /home/jaula/u_aplicacion_scansor/soria
>>> type none (rw,bind,acl)
>         ^^^^
>
> (...)
>
> Ese "none" me escama un poco. No reconoce el sistema de archivos, ¿será 
> por la jaula? :-?
Cuando se monta con bind (montaje de un subdirectorio no de un
dispositivo) es lo normal, o por lo menos eso creo y es lo que he puesto
en el fstab:
/mnt/imagenes/soria /home/jaula/aplicacion_scansoria/soria none
acl,bind,defaults    0 0

>
>> Se me olvidaba, he usado filezilla para la conexión sftp y este caso
>> solo ocurre por sftp, es decir el usuario oracle en local si ve todo,
>> pero por sftp no (he probado con "filezilla" y desde una maquina windows
>> con el "coreftp").
> Comprueba que los permisos del servidor SSH/SFTP sean los correctos como 
> apuntan por aquí:
>
> ACL permission mask problems on linux
> http://muzso.hu/2013/03/20/acl-permission-mask-problems-on-linux
>
> Personalmente evitaría mezclar permisos POSIX con ACL, resulta más lioso 
> de gestionar (y menos flexible también, vale, pero es un auténtico dolor 
> de muelas).
>
> Saludos,
>
Muchas gracias, has encontrado lo que yo no encontré, probando lo que
dice en el enlace que me has pasado, parece que las ACL se habían hecho
un lío, ejecutando la orden
# setfacl -R --mask -m m::--- soria
parece que se arregla.
Se que es un lío nesclar los permisos posix con las ACL, pero no se me
ha ocurrido ningún otro método de forzar los permisos para 2 usuarios,
uno de AD y otro local que van a crear y borrar estructuras de árbol y
que no haya problemas con los permisos.
Las primeras pruebas las hice metiendo los 2 usuarios en un grupo y
poniéndole el "stickebit" para forzar que el grupo siempre tuviera
acceso total, pero no funciono porque el grupo principal de los 2
usuarios no es el mismo y los directorios y ficheros se creaban con
permiso total pero como el grupo con el que se crea es el principal del
que lo crea no funcionaba. Tampoco quería darle permisos totales a
"otros" por seguridad.
En las pruebas si he dado permisos con als ACL a todos, pero es solo por
las pruebas.
Salud.

Reply to:

References:
- OT sobre acl y dominio AD
  - From: Antonio Trujillo Carmona <antonio.trujillo.sspa@juntadeandalucia.es>
- Re: OT sobre acl y dominio AD
  - From: Antonio Trujillo Carmona <antonio.trujillo.sspa@juntadeandalucia.es>
- Re: OT sobre acl y dominio AD
  - From: Camaleón <noelamac@gmail.com>

Prev by Date: Tema de la revista, prueba numero 1
Next by Date: Re: sincronizar repos locales con repos de internet.
Previous by thread: Re: OT sobre acl y dominio AD
Next by thread: [SOLUCIONADO] Re: [OT] Iniciandome en OpenLDAP - Chequear autenticacion usuarios
Index(es):
- Date
- Thread