Fórum Ubuntu CZ/SK
Ostatní => Ubuntu Server => Téma založeno: Cepela 08 Dubna 2010, 00:00:48
-
Tak a mam dalsi dotaz ;D V praci lehnul server s win2003server, tak jsem ho konecne nahradil ubuntama a sambou, jenze.... Samba je nastavene, ze cuca uzivatele z AD (funguje super), je nasdileno nekolik adresaru s ruznymi pravy (to taky OK) a jedna slozka (DATA) je sdilena, ze ma kdokoli do ni pristup jak pro cteni, tak zapis. Ted ten problem. V teto slozce DATA je podadresar (SCAN) kam potrebuji, aby meli pristup pouze dva uzivatele (napr. user1@domena.local, user2@domena.local). Zkousle sem to resit tim, ze jsem v linuxu zalozil skupinu (napr. scan) a do ni zadal tyto dva uzivatele a nastavil prava primo v linuxu na 770, vlastnika jsem dal administratora a skupinu tu scan. To ale neslapalo a nepustilo to tam ani ty dva uzivatele ze skupiny. Nevim, jestli jsem ty uzivatele nezapsal do skupiny ve spatnem formatu (user1@domena.local, user1, DOMENA\user1). Jeste takova otazka naokraj, nejak mi neslape parametr admin users = administrator , kdyz jsem zalogovan pod widlema jako domenovy administrator tak me to stejne do soukromych slozek nepusti.... mozna se to take tyka toho spatneho zapisu uzivatele z domeny
-
Co takhle se tomu vyhnout a dát adresář SCAN pryč z DATA?
-
Jeee, ja to tam nejak nenapsal a jeste sem si to rikal. Jinam do dat proste NELZE. :(
-
HELP PLEASE EVERYONE
-
No něco podobnýho řeším... a to dokonce dynamicky... že daný admin by si mohl (v tvém případě adresář SCAN upravovat pro x různých uživatelů - ty tam máš konkrétní dva).
V tvém případě jde udělat nasdílení SCAN do home složky daných dvouch userů (symlink by mohl stačit nebo přes fstab a parametr bind) a nastavit práva tak, aby oni dva jen do ní mohli.
-
Vsichni uzivatele maji WinXP a tento adresar pripojuji jak sitovou jednotku.... Nechce se mi verit, ze by widle umeli neco lepe nez linux a musel bych to resit drbanim levou nohou za pravym uchem.... Ty prava jste myslel na urovni systemu, nebo samby???
-
Vsichni uzivatele maji WinXP a tento adresar pripojuji jak sitovou jednotku.... Nechce se mi verit, ze by widle umeli neco lepe nez linux a musel bych to resit drbanim levou nohou za pravym uchem.... Ty prava jste myslel na urovni systemu, nebo samby???
No pokud SCAN chceš připojit jako síťovou jednotku, pak jde udělat tedy nasdílení jenom pro tu konkrétní složku a omezit její uživatele (na ty dva konkrétní, existující v systému).
Pak se dají ty dva do nějaký skupiny (group) a té skupině se nastaví práva na SCAN a ještě se nastaví v parametru sdílení té složky maska na file a directory třeba na 770.
Když by ta složka byla ve složce, která se už sdílý, tak jde v sambě dát parametr v konfigu, že pokud daný uživatel do ní nemůže, tak mu jí samba ani neukáže. A vlastně ti ostatní nebudou mít v té oné skupině, takže se dovnitř SCAN nedostanou. ;)
-
To stou skupinou jsem presne delal, taky to pisu v dotazu, ale proste to neslapalo, nepustilo to tam ani ty dva uzivatele, kteri byli v te skupine.... Jak by tedy mel byt spravny zapis uzivatele z AD treba petr.novak domena novakov.local do linuxu kvuli pravum na urovni systemu????
-
No pokud je ověření ze systému (samby), tak v configu bych to sdílel:
[SCAN]
valid users = @grupa
path = /DATA/SCAN
[DATA]
hide unreadable = yes
v grupa bude řekněme např. petr a pavel
petr a pavel musí mít přístup do složky DATA... a zároveň do SCAN... ale ostatní musí se taky dostat do DATA, ale do SCAN ne. Což je humus. Protože ať bude majitel kdokoliv, furt je to jeden člověk. Navíc petr a pavel mají jinou groupu než ostatní kvůli přístupu do složky SCAN. Navíc pokud bude ta složka DATA úplně veřejná takhle obávám se, že se asi 776 pravidlům nevyhnete. Jak jste to měl nastavené na té složce SCAN, že to nefungovalo?
Doufám, že to bude fungovat... nemám time to hledat a už vůbec zkoušet. Jestli to píšu blbě, tak mě někdo opravte.
-
Prvni problem je to, ze taham uzivatele do domeny z Active Directory, takze uz muze byt chyba v tom, v jakem tvaru je mam (jestli vunec) pridat do systemu linuxu, aby to vzalo ten login z windowsu. Mam to udelane tak, ze samba je nastavena na uzivatele z AD, to slape super. Adresar DATA je verejny, kazdy do nej muze zapisovat mimo guesta (ten vubec neni povolen). V tomto adresari a adresar SCAN, v sambe sem ho "neresil" a primo v systemu nastavil vlastnika na administratora a skupinu na vytvorenou, kde byli ti dva uzivatele (opet nevim, jestli byli spravne zapsani pro format z AD), prava slozky byla 770. Takle to tam nepustilo ani admina z AD, ani ty uzivatele ze skupiny...