Fórum Ubuntu CZ/SK
Ubuntu pro osobní počítače => Obecná podpora => Téma založeno: doga312 29 Května 2016, 12:41:36
-
Ahoj,
předem bych chtěl poprosit o trpělivost ale už fakt nevím jak dál.
V linuxu jsou 3 základní oprávnění, vlastník, skupina a ostatní, v sambě zase jen čtení nebo zápis.
Ale nevím jak s toho poskládat následující.
Chtěl bych vytvořit fileserver, kde by bylo ke sdíleným složkám více stupňů oprávnění, nejlépe pomocí skupin uživatelů.
1. skupina rwx
2. skupina r-x
3. quest ---
Díky za rady a nápady ;)
-
Vše podstatné máš přece tady
http://wiki.ubuntu.cz/samba (http://wiki.ubuntu.cz/samba)
jen si upravíš smb.conf
[složka]
comment = Složka_1
path = /cesta/ke/složce
create mask=0777
directory mask=0777
available = yes
valid users = @users
read only = no
browsable = yes
public = yes
writable = yesa budeš si hrát s řádkem
valid users =
-
Ahoj,
dík za pomoc ale co zabrání zápisu uživatele u kterého to není žádáno?
-
path = ... - úplná cesta k adresáři.
public = no - přístup jen pro oprávněné uživatele.
only guest = false - přístup nejen pro uživatele "nobody" (hosta bez vlastní identifikace na serveru).
valid users = ... - jména (identifikace) uživatelů, kteří mohou adresář sdílet.
writable = true - je povolen zápis do adresáře pro oprávněné uživatele.
printable = no - nejde o tiskové zařízení.
browseable = yes - adresář bude viditelný přes "Okolní počítače", pokud tento parametr nastavíte na "no" uživatelé mohou adresář sdílet, ale viditelný nebude.
directory mask = 0755 - nastavení práv k adresáři. Uvedené číslo znamená pro oprávněného uživatele povoleno zápis, čtení i spouštění souborů, pro ostatní jen čtení a spouštění. Řídí se stejnými pravidly jako unixová (linuxová) práva.
create mask = 0700 - nově vytvořené soubory v adresáři obdrží zde nastavená práva.
write list = @administrativa - adresář patří skupině "administrativa".
-
Ahoj,
tohle jsem dal dohromady:
[UBU_1]
comment = Ubuntu
path = /mnt/UBU_1
create mask=0755
directory mask=0755
available = yes
valid users = petr,lada,alex
read only = no
browsable = yes
public = no
writable = true
only guest = false
write list = petr,alexale zápis pro uživatele lada se mi podaří omezit až na úrovni unixových práv skupiny petr ale tím omezím i alex. Když dám ladu do skupiny sambashare a té nastavím jenom čtení (v grafice Čaji), skupina petr ztratí přístup.
Přiznám se, že pořád nějak nerozumím unixovým právům skupin.
Petr je vlastník, spadá do skupiny petr a každý uživatel patřící do skupiny petr, podléhá nastaveným právům skupiny petr. Jak nastavím aby měla k souboru přístup skupina sambashare bez práva zápisu, nebo jde to vůbec aby mělo k souboru přístup více skupin o různých právech.
Až to pochopím, stane z Ubuntu hned o něco krásnější místo :D
-
ACL by mělo pomoct: http://www.abclinuxu.cz/clanky/bezpecnost/acl-prakticky (http://www.abclinuxu.cz/clanky/bezpecnost/acl-prakticky)
a jednoduchá praktická ukázka: http://forum.ubuntu.cz/index.php?topic=18767.msg248710#msg248710 (http://forum.ubuntu.cz/index.php?topic=18767.msg248710#msg248710)
-
Dík za radu, po ACL jsem už začal dnes pokukovat ;) Je na čase se zase posunout o kousek dál :D
-
Jen dodam, ze create mask a directory mask nikdy v sambe poradne nefungovala ... pokud chces "sdilenou" slozku pro vsechny, pak pouzij ``force user'', u toho zbytku je to asi dobre resit pres skupiny + nastaveni umasky v pam
-
@ntz: nefungovalo, ale co kupodivu docela funguje je inherit permissions = yes
inherit permissions
When the inherit permissions option is set to yes, the create mask, directory mask, force create mode, and force directory mode are ignored. The normal behavior of setting the permissions on newly created files is overridden such that the new files and directories take on permissions from their parent directory. New directories will have exactly the same permissions as the parent, and new files will inherit the read and write bits from the parent directory, while the execute bits are determined as usual by the values of the map archive, map hidden, and map system parameters.
-
@merline, diky za poznamku :D ... dekuji se smajlikem proto, ze jsem si *pred lety* udelal spatnou zkusenost a fakt to ani nezkousim ... asi bych trochu mel jit s dobou ....
btw, funguje to "dedeni" spravne i na ACL ? potom by to totiz zaclo bejt docela zajimavy, bezna prava majitel/skupina/ostatni je fakt uz dneska stredovek ...
-
NTZ: Popravdě nevím, zkus zalaborovat :) Já tohle využívám v případě, že potřebuji, aby všichni mohli všechno, ale zároveň na jisté úrovni řešit i restrikce pomocí přístupových práv.
A jinak souhlasím, fakt by se toto konečně mělo kamsi posunout ...
-
NTZ: Popravdě nevím, zkus zalaborovat :) Já tohle využívám v případě, že potřebuji, aby všichni mohli všechno, ale zároveň na jisté úrovni řešit i restrikce pomocí přístupových práv.
A jinak souhlasím, fakt by se toto konečně mělo kamsi posunout ...
no, tak tohle ja resim uz dlouhy roky pomoci ``force user'' (obvykle vytvarim usera smbmage pomoci useradd -r -d /dev/null -s /sbin/nologin ...)
-
btw, funguje to "dedeni" spravne i na ACL ? potom by to totiz zaclo bejt docela zajimavy, bezna prava majitel/skupina/ostatni je fakt uz dneska stredovek ...
Já to používám v jednoduché struktuře: 2 adresáře - 2 skupiny uživatelů, obě skupiny mají povoleno čtení z obou adresářů, zapisovat mohou uživatelé jen do adresáře určeného jejich skupině. Za půl roku se nastřádalo několik stovek podadresářů a dědění práv krásně funguje. ve skupinách je 9 a 10 uživatelů a zatím jsme nezaznamenali žádný konflikt s právy.
Pro nás je důležité, že v rámci jedné skupiny si mohou uživatelé vzájemně editovat soubory - tím se změní vlastník souboru, ale díky ACL to zase kdokoli z oprávněné skupiny může editovat.