samba advanced

[Martin - ViPEr*CZ*]

Mám takovej oříšek...jak udělat v sambě následující. Sdílím si složku (/home/user) do systému jedno jakého... tam se ověřuju tak že se tam přihlásím pod stejným userem jako je na serveru... tak a na serveru je dejme tomu 1, 2, 3, 4, 5 uživatel... já jsem číslo jedna... a chci nasdílet jedno jestli soubor či složku také kolegům 3,4 a ostatní aby to neviděli... jenže předem vždy nevím která data budu chtít komu sdílet... je na to nějaký webový či jiný fígl? Přes putty a symlinky či bindy to vždy růčo vyřešit není problém... ale nějak to zautomatizovat pro BFU?

[Petr Merlin Vaněček]

Nešlo by vytvořit nějaký globální share (řekněme třeba //server/dokumenty) do kterého by si uživatelé zakládali potřebné adresáře, kterým by nastavovali patřičná práva (smb toto docela zvládá, ale bacha, jen v kombinaci majitel, skupina, ostatní a jen při security = user)

Chce to trochu přemýšlet kdo kde co a jak, kdo majitel, jaká skupina a tak.

[Martin - ViPEr*CZ*]

No to pochybuji, že by to dotyčný dával... víš jak nelépe by bylo kdyby si hodil kontextové menu na soubor... a tam měl možnost sdílet... a tam by si vybral usery (existující) jak kdyby chtěl hromadně uploadovat soubory třeba... a u každýho viděl práva na zaškrtnutí (třeba jak mají oprávnění NT windows).

Momentálně se nachází složka /home/share a do ní když se něco nahraje je to k dispozici pro všechny... každý user ji má nabindovanou ve své home složce. Takže říkáš že v tý share složce by šlo nastavit (jak na windows, tak linuxu) oprávnění k jednotlivým souborům zvlášť?

Mě bohužel napadá jen nějaká aplikace co by na požadavek roznášela symlinky.... ale to je děsně zdlouhavé a náročné řešení. Toto uměl krásně nowell.

[Petr Merlin Vaněček]

Aha, ty máš klienty taky Linuxové - nějak jsem měl za to, že Windowsacké.
Tam to totiž přesně takto funguje.

V Ubuntu jsem si teď všimnul je možnost přes kontextové menu také nastavit sdílení na dané složce, ale bez možnosti nastavit skupinu

[Martin - ViPEr*CZ*]

Aha, ty máš klienty taky Linuxové - nějak jsem měl za to, že Windowsacké.
Tam to totiž přesně takto funguje.

V Ubuntu jsem si teď všimnul je možnost přes kontextové menu také nastavit sdílení na dané složce, ale bez možnosti nastavit skupinu

My jsme to teď teoreticky zkusili takto:

- vytvořit holt všem složky ostatních uživatelů:
  když se připojí petr uvidí: /home /user2 /user3 /user4 slozku
- pres direktivu nastavit ke sdílenejm složkám hide unreadable, hide unwritable
- a pak to zkusit omaskovat create mask = 0660, force group = viper


- to by mělo schovat soubory na který daný uživatel nemá právo read a nebo write
- každá složka bude mít groupu toho danýho usera a právo 660

je jasné že bude nafix 660 a nepůjde jen na něco read a na něco i write...

[Martin - ViPEr*CZ*]

no tak už jsem přišel na nevýhody.... nešlo by takto pak sdílet mezi dva usery jednu kopii souborů... musel bych to kopírovat oboum zvlášt

[Martin - ViPEr*CZ*]

Tak jsem na to nepřišel... asi to samba neumožňuje, aby si každý uživatel na serveru měnil práva vlastních souborů.
Dál jsem taky nepřišel na to jak třeba udělat, když se daný user připojí do domény, aby se mu na serveru spustil nějaký jeho skript (nerozchodil jsem zatím logon skript).

[Petr Merlin Vaněček]

Tak jsem na to nepřišel... asi to samba neumožňuje, aby si každý uživatel na serveru měnil práva vlastních souborů.
Dál jsem taky nepřišel na to jak třeba udělat, když se daný user připojí do domény, aby se mu na serveru spustil nějaký jeho skript (nerozchodil jsem zatím logon skript).

Hoď sem prosím konfigurák té tvé samby, máš tam něco divoce.
Co se týče změn práv vlastních souborů, tak by to jít mělo (a chodí mi to - nicméně jen v majitel-skupina-ostatní)

Script NA serveru nebo ZE serveru? Nechci to tvrdit, neb to nevím 100%, ale script NA serveru snad neumožňuje spustit ani MS Windows Server? Ze serveru - jde zase jen o konfiguraci netlogon (a správného konce řádek v .bat souboru)

[Martin - ViPEr*CZ*]

No podařilo se mi nastavovat práva Everyone ...
A podařil se mi i logon script... jsem se nějak přihlašoval stále na lokální účet windows... ten jako by nepracoval v doméně, ale stále v klasické skupině.
Když jsem se pak logoval už pod doménovým účtem vše šlo jak má... dokonce zároveň to zapne cestovní profil.

[Petr Merlin Vaněček]

No podařilo se mi nastavovat práva Everyone ...
A podařil se mi i logon script... jsem se nějak přihlašoval stále na lokální účet windows... ten jako by nepracoval v doméně, ale stále v klasické skupině.
Když jsem se pak logoval už pod doménovým účtem vše šlo jak má... dokonce zároveň to zapne cestovní profil.

Lokální účet není doménový. A user logicky nemá v doméně práva.
Cestovní profil není špatná věc, ale jen v případě, že je dostatečně dimenzovaná síť, on ten profil docela bobtná a přenášet po půl roce po každém přihlášení třeba půl giga na stovkové síti (stačí pozapomenout nastavit outlooku správné umístění úložiště) dovede spolehlivě uživatele k šílenství

Pokud má user mít právo měnit vlastní soubory, musí mu napřed patřit. Uživatelé samby existují zároveň v systému? A pokud ano, patří jim daný file?

[Martin - ViPEr*CZ*]

No ono mi to psalo, že se ukládá cestovní profil (když jsem se lognul na člena domény), ale cestovní profily jsem v konfigu samby nenastavil (mám na to tu knížku s "ptákem")... což má mohlo znamenat, že jsou windows zblý a pokouší se ale samba to odmítne a nic se neuložilo.
No tak takovej lamer snad už nejsem... tj. udělal jsem si složku... co sdílím pod názvem shared. Na tu jsem v sambě nastavil klidně 0700 masku.

User katka nahrál do tohoto adresáře file.
User martin tento file nevidí.
User katka chce vybrat doménového usera martin, aby mu nastavila právo čtení. A ejhle nejde to.

V systému linux oba uživatelé leží... jde se na ně logovat... na windows také leží... oba jsou v doméně.

User katka může pouze nastavit práva Everyone. Ty když dám na čtení, tak user martin už onen soubor vidí a dokonce si ho přečte (ano uvidí ho všichni další useři).

[Petr Merlin Vaněček]

A v takové té rozšířené windows správě oprávnění (skutečná oprávnění se to tuším jmenuje) figuruje katka jako majitel složky? Máš správně mapované skupiny?