[quote:bf2ecbd578="blanc"]
Esetemben kértek olyat, hogy Géza (csak példa, senki se vegye magára), írhasson-törölhessen a könyvtárban, Dezső (lásd. előbb) csak olvashasson, míg Mancika (mint Dezsőnél) még arról se tudjon, hogy a könyvtár létezik.
Ez a kiindulási állapot, ezt fejelgetik hetente/havonta 1-1 újabb kollégával és beállítással. S mivel ez fájlrendszer szintű, kicsit macerás a beállítgatása. Nem az LDAP/xSQL/PAM loginolással van gond, hanem a fájlonkénti jogosultságok variálhatóságára.
Sose hittem volna, hogy érdemes Novell-t olvasgatni, hogyan hozza ki a 2-3 jogból az 6-9 jogosultságot... :D
Amit a windowsos ACL-ekkel nem tudsz megcsinálni, azt nem fogod tudni megetetni a wines munkaállomásokkal sem. :D
Ez a "még arról se tudjon, hogy a könyvtár létezik" csak mostanában, az SP1-gyel érhető el a Windows Server 2003-ban (ha jól dereng), eddig ilyen nem volt Winre...
Azt szeretném kideríteni ezzel a topic-kal, hogy Linux alatt milyen következményei vannak a különböző ACL implementációknak, mennyire jól használhatóak/keserítik meg az életünket.
A felvetés onnan ered, hogy mostanság egyre több olyan apró kéréssel fordulnak hozzám amelyben file-okat, könyvtárakat elég körülményes jogosultságkezeléssel szeretnének megáldani. Nyílvánvaló, hogy ezt a jó öreg UNIX permissionokkal lehetetlen kivitelezni (lehetetlent értsd iszonyat körülményes).
A másik ehhez kapcsolódó kérdésem, hogy van-e valakinek valamilyen ACL implementációval tapasztalata Samba-n keresztül?
Harmadrészt az még a kérdés, hogy hogyan lehet/célszerű keverni az oldschool UNIX permeket és az ACL-eket, hogy kezelhető, áttekinthető formában maradjon?
[quote:a0b292cf54="tolmi"]Azt szeretném kideríteni ezzel a topic-kal, hogy Linux alatt milyen következményei vannak a különböző ACL implementációknak, mennyire jól használhatóak/keserítik meg az életünket.
A felvetés onnan ered, hogy mostanság egyre több olyan apró kéréssel fordulnak hozzám amelyben file-okat, könyvtárakat elég körülményes jogosultságkezeléssel szeretnének megáldani. Nyílvánvaló, hogy ezt a jó öreg UNIX permissionokkal lehetetlen kivitelezni (lehetetlent értsd iszonyat körülményes).
A másik ehhez kapcsolódó kérdésem, hogy van-e valakinek valamilyen ACL implementációval tapasztalata Samba-n keresztül?
Harmadrészt az még a kérdés, hogy hogyan lehet/célszerű keverni az oldschool UNIX permeket és az ACL-eket, hogy kezelhető, áttekinthető formában maradjon?
Szia
Eddigi saját megoldásaim a favágás tipikus eseteit mutatják be, amikor cégvezetővel aláírattam mindenféle, a SaMBa megosztásaival kapcsolatos beállítást (ki láthatja, írhatja, olvashatja, számolhatja, stb.), majd minden megosztáshoz külön csoportot hoztam létre és az adott csoportra adtam jogokat.
Jobbat a témába vágó nettúrásaim alkalmával nem találtam, úgyhogy ez működik jelenleg.
E megoldás kezelésére a mezei textfájltól kezdve az Oracle-adatbázisig ezer és egy megoldás létezik. Igazából a problémát saját tapasztalatom alapján nem is az áttekinthető formátum létrehozása szokta okozni, hiszen aki elkészíti, az eleve érti is a logikáját.
A probléma sokkal inkább ott szokott lenni, amikor heti változásokat kérnek egyesek, vagy azzal érkeznek telefonon, hogy nem is a megvalósított változatot kérték. Jelenleg még mindig ott tartunk, hogy napi e-mail használó emberek nem képesek e-mail útján elküldeni vágyaikat, hogy később problémák esetén tudjanak mire hivatkozni. (Lehet, azért nem teszik, mert sejtik, én is ezt tenném?)
CentOS-ben és Fedorában ext3 alatt támogatott, és külön említik, hogy a samba is tudja kezelni. Namost ebből arra következtetek - anélkül, hogy utána jártam volna -, hogy nem annyira sima ügy, ha a disztribució készítője nem csomagolja neked úgy.
[quote:0f2ccf785b="tolmi"]A másik ehhez kapcsolódó kérdésem, hogy van-e valakinek valamilyen ACL implementációval tapasztalata Samba-n keresztül?
Samba3-mal tökéletesen működik, lehet a WinNT alapú gépekről állítgatni a jogosultságokat, mintha tényleg WinNT szerver lennne. Persze egy csomó dolog nem ugyanúgy megy: a legfájóbb hiányosság a nested group-ok hiánya...
[quote:b434e472a3="ssikiss"]CentOS-ben és Fedorában ext3 alatt támogatott, és külön említik, hogy a samba is tudja kezelni. Namost ebből arra következtetek - anélkül, hogy utána jártam volna -, hogy nem annyira sima ügy, ha a disztribució készítője nem csomagolja neked úgy.
Nem :) Nem az :) Debian és Ubuntu alatt buildeltem Samba3-at ACL enableddel, de valahogy nem tudtam felfogni az ACL kontra UNIX permek hogyan-mikentjet ha Samba juzer allitgatja a Windowsos ACL-eket. Néha igen meglepő kombinációk jöttek ki. Ez persze valószinüleg abból eredhet, hogy nem igazán fogtam fel az 1.000.000 oldalas Samba doksibol hogy ki mit heggeszt hova. Ez a rész kissé szétszórt a leírásban. Épp ezért próbálok tapasztalatot gyülyteni a fórumban, hogy merre induljak el a kutatásban.
[quote:22960fa4a6="Previ"][quote:22960fa4a6="tolmi"]A másik ehhez kapcsolódó kérdésem, hogy van-e valakinek valamilyen ACL implementációval tapasztalata Samba-n keresztül?
Samba3-mal tökéletesen működik, lehet a WinNT alapú gépekről állítgatni a jogosultságokat, mintha tényleg WinNT szerver lennne. Persze egy csomó dolog nem ugyanúgy megy: a legfájóbb hiányosság a nested group-ok hiánya...
Tehat akkor neked enforce-olja az ACL-t a UNIX perm felett? Milyen ACL implementációt használsz? Bevágnád az ide vonatkozó smb.conf részeket? Tank yu!
[quote:fc83f77d5a="tolmi"][quote:fc83f77d5a="Previ"][quote:fc83f77d5a="tolmi"]A másik ehhez kapcsolódó kérdésem, hogy van-e valakinek valamilyen ACL implementációval tapasztalata Samba-n keresztül?
Samba3-mal tökéletesen működik, lehet a WinNT alapú gépekről állítgatni a jogosultságokat, mintha tényleg WinNT szerver lennne. Persze egy csomó dolog nem ugyanúgy megy: a legfájóbb hiányosság a nested group-ok hiánya...
Tehat akkor neked enforce-olja az ACL-t a UNIX perm felett? Milyen ACL implementációt használsz? Bevágnád az ide vonatkozó smb.conf részeket? Tank yu!
Ráadásul ezek szerint neki még működik is. Nem szüttyög csoportokkal meg mifenékkel a 2.x-es SaMBán... A gonosz :D
[quote:39e78ad13f="tolmi"][quote:39e78ad13f="Previ"][quote:39e78ad13f="tolmi"]A másik ehhez kapcsolódó kérdésem, hogy van-e valakinek valamilyen ACL implementációval tapasztalata Samba-n keresztül?
Samba3-mal tökéletesen működik, lehet a WinNT alapú gépekről állítgatni a jogosultságokat, mintha tényleg WinNT szerver lennne. Persze egy csomó dolog nem ugyanúgy megy: a legfájóbb hiányosság a nested group-ok hiánya...
Tehat akkor neked enforce-olja az ACL-t a UNIX perm felett? Milyen ACL implementációt használsz? Bevágnád az ide vonatkozó smb.conf részeket? Tank yu!
Jah, hát én nem éreztem szükségét túl nagy önsanyargatásnak: a samba szerver csak mint fájlszerver üzemelt a windowsos gépeknek, így a unixos fájl-jogosultságokkal nem igazán kellett foglalkozni, csak az acl-esekkel...
De ha nincs is külön gép, akkor is minek keverni a két világot feleslegesen? 8)
[quote:f89efa423d="Previ"][quote:f89efa423d="blanc"]
Ráadásul ezek szerint neki még működik is. Nem szüttyög csoportokkal meg mifenékkel a 2.x-es SaMBán... A gonosz :D
A groupok és userek meg persze LDAP-ból jöttek, a linuxnak, és a sambanak is, így nincs is nagy kavarás.
Esetemben kértek olyat, hogy Géza (csak példa, senki se vegye magára), írhasson-törölhessen a könyvtárban, Dezső (lásd. előbb) csak olvashasson, míg Mancika (mint Dezsőnél) még arról se tudjon, hogy a könyvtár létezik.
Ez a kiindulási állapot, ezt fejelgetik hetente/havonta 1-1 újabb kollégával és beállítással. S mivel ez fájlrendszer szintű, kicsit macerás a beállítgatása. Nem az LDAP/xSQL/PAM loginolással van gond, hanem a fájlonkénti jogosultságok variálhatóságára.
Sose hittem volna, hogy érdemes Novell-t olvasgatni, hogyan hozza ki a 2-3 jogból az 6-9 jogosultságot... :D
Hozzászólások
[quote:bf2ecbd578="blanc"]
Esetemben kértek olyat, hogy Géza (csak példa, senki se vegye magára), írhasson-törölhessen a könyvtárban, Dezső (lásd. előbb) csak olvashasson, míg Mancika (mint Dezsőnél) még arról se tudjon, hogy a könyvtár létezik.
Ez a kiindulási állapot, ezt fejelgetik hetente/havonta 1-1 újabb kollégával és beállítással. S mivel ez fájlrendszer szintű, kicsit macerás a beállítgatása. Nem az LDAP/xSQL/PAM loginolással van gond, hanem a fájlonkénti jogosultságok variálhatóságára.
Sose hittem volna, hogy érdemes Novell-t olvasgatni, hogyan hozza ki a 2-3 jogból az 6-9 jogosultságot... :D
Amit a windowsos ACL-ekkel nem tudsz megcsinálni, azt nem fogod tudni megetetni a wines munkaállomásokkal sem. :D
Ez a "még arról se tudjon, hogy a könyvtár létezik" csak mostanában, az SP1-gyel érhető el a Windows Server 2003-ban (ha jól dereng), eddig ilyen nem volt Winre...
Azt szeretném kideríteni ezzel a topic-kal, hogy Linux alatt milyen következményei vannak a különböző ACL implementációknak, mennyire jól használhatóak/keserítik meg az életünket.
A felvetés onnan ered, hogy mostanság egyre több olyan apró kéréssel fordulnak hozzám amelyben file-okat, könyvtárakat elég körülményes jogosultságkezeléssel szeretnének megáldani. Nyílvánvaló, hogy ezt a jó öreg UNIX permissionokkal lehetetlen kivitelezni (lehetetlent értsd iszonyat körülményes).
A másik ehhez kapcsolódó kérdésem, hogy van-e valakinek valamilyen ACL implementációval tapasztalata Samba-n keresztül?
Harmadrészt az még a kérdés, hogy hogyan lehet/célszerű keverni az oldschool UNIX permeket és az ACL-eket, hogy kezelhető, áttekinthető formában maradjon?
[quote:a0b292cf54="tolmi"]Azt szeretném kideríteni ezzel a topic-kal, hogy Linux alatt milyen következményei vannak a különböző ACL implementációknak, mennyire jól használhatóak/keserítik meg az életünket.
A felvetés onnan ered, hogy mostanság egyre több olyan apró kéréssel fordulnak hozzám amelyben file-okat, könyvtárakat elég körülményes jogosultságkezeléssel szeretnének megáldani. Nyílvánvaló, hogy ezt a jó öreg UNIX permissionokkal lehetetlen kivitelezni (lehetetlent értsd iszonyat körülményes).
A másik ehhez kapcsolódó kérdésem, hogy van-e valakinek valamilyen ACL implementációval tapasztalata Samba-n keresztül?
Harmadrészt az még a kérdés, hogy hogyan lehet/célszerű keverni az oldschool UNIX permeket és az ACL-eket, hogy kezelhető, áttekinthető formában maradjon?
Szia
Eddigi saját megoldásaim a favágás tipikus eseteit mutatják be, amikor cégvezetővel aláírattam mindenféle, a SaMBa megosztásaival kapcsolatos beállítást (ki láthatja, írhatja, olvashatja, számolhatja, stb.), majd minden megosztáshoz külön csoportot hoztam létre és az adott csoportra adtam jogokat.
Jobbat a témába vágó nettúrásaim alkalmával nem találtam, úgyhogy ez működik jelenleg.
E megoldás kezelésére a mezei textfájltól kezdve az Oracle-adatbázisig ezer és egy megoldás létezik. Igazából a problémát saját tapasztalatom alapján nem is az áttekinthető formátum létrehozása szokta okozni, hiszen aki elkészíti, az eleve érti is a logikáját.
A probléma sokkal inkább ott szokott lenni, amikor heti változásokat kérnek egyesek, vagy azzal érkeznek telefonon, hogy nem is a megvalósított változatot kérték. Jelenleg még mindig ott tartunk, hogy napi e-mail használó emberek nem képesek e-mail útján elküldeni vágyaikat, hogy később problémák esetén tudjanak mire hivatkozni. (Lehet, azért nem teszik, mert sejtik, én is ezt tenném?)
Én EXT3 mellett használok ACL-támogatást. Semmi gond nincs vele. Samban keresztül miért ne működne?
CentOS-ben és Fedorában ext3 alatt támogatott, és külön említik, hogy a samba is tudja kezelni. Namost ebből arra következtetek - anélkül, hogy utána jártam volna -, hogy nem annyira sima ügy, ha a disztribució készítője nem csomagolja neked úgy.
[quote:0f2ccf785b="tolmi"]A másik ehhez kapcsolódó kérdésem, hogy van-e valakinek valamilyen ACL implementációval tapasztalata Samba-n keresztül?
Samba3-mal tökéletesen működik, lehet a WinNT alapú gépekről állítgatni a jogosultságokat, mintha tényleg WinNT szerver lennne. Persze egy csomó dolog nem ugyanúgy megy: a legfájóbb hiányosság a nested group-ok hiánya...
[quote:b434e472a3="ssikiss"]CentOS-ben és Fedorában ext3 alatt támogatott, és külön említik, hogy a samba is tudja kezelni. Namost ebből arra következtetek - anélkül, hogy utána jártam volna -, hogy nem annyira sima ügy, ha a disztribució készítője nem csomagolja neked úgy.
Nem :) Nem az :) Debian és Ubuntu alatt buildeltem Samba3-at ACL enableddel, de valahogy nem tudtam felfogni az ACL kontra UNIX permek hogyan-mikentjet ha Samba juzer allitgatja a Windowsos ACL-eket. Néha igen meglepő kombinációk jöttek ki. Ez persze valószinüleg abból eredhet, hogy nem igazán fogtam fel az 1.000.000 oldalas Samba doksibol hogy ki mit heggeszt hova. Ez a rész kissé szétszórt a leírásban. Épp ezért próbálok tapasztalatot gyülyteni a fórumban, hogy merre induljak el a kutatásban.
[quote:22960fa4a6="Previ"][quote:22960fa4a6="tolmi"]A másik ehhez kapcsolódó kérdésem, hogy van-e valakinek valamilyen ACL implementációval tapasztalata Samba-n keresztül?
Samba3-mal tökéletesen működik, lehet a WinNT alapú gépekről állítgatni a jogosultságokat, mintha tényleg WinNT szerver lennne. Persze egy csomó dolog nem ugyanúgy megy: a legfájóbb hiányosság a nested group-ok hiánya...
Tehat akkor neked enforce-olja az ACL-t a UNIX perm felett? Milyen ACL implementációt használsz? Bevágnád az ide vonatkozó smb.conf részeket? Tank yu!
[quote:fc83f77d5a="tolmi"][quote:fc83f77d5a="Previ"][quote:fc83f77d5a="tolmi"]A másik ehhez kapcsolódó kérdésem, hogy van-e valakinek valamilyen ACL implementációval tapasztalata Samba-n keresztül?
Samba3-mal tökéletesen működik, lehet a WinNT alapú gépekről állítgatni a jogosultságokat, mintha tényleg WinNT szerver lennne. Persze egy csomó dolog nem ugyanúgy megy: a legfájóbb hiányosság a nested group-ok hiánya...
Tehat akkor neked enforce-olja az ACL-t a UNIX perm felett? Milyen ACL implementációt használsz? Bevágnád az ide vonatkozó smb.conf részeket? Tank yu!
Ráadásul ezek szerint neki még működik is. Nem szüttyög csoportokkal meg mifenékkel a 2.x-es SaMBán... A gonosz :D
[quote:39e78ad13f="tolmi"][quote:39e78ad13f="Previ"][quote:39e78ad13f="tolmi"]A másik ehhez kapcsolódó kérdésem, hogy van-e valakinek valamilyen ACL implementációval tapasztalata Samba-n keresztül?
Samba3-mal tökéletesen működik, lehet a WinNT alapú gépekről állítgatni a jogosultságokat, mintha tényleg WinNT szerver lennne. Persze egy csomó dolog nem ugyanúgy megy: a legfájóbb hiányosság a nested group-ok hiánya...
Tehat akkor neked enforce-olja az ACL-t a UNIX perm felett? Milyen ACL implementációt használsz? Bevágnád az ide vonatkozó smb.conf részeket? Tank yu!
Jah, hát én nem éreztem szükségét túl nagy önsanyargatásnak: a samba szerver csak mint fájlszerver üzemelt a windowsos gépeknek, így a unixos fájl-jogosultságokkal nem igazán kellett foglalkozni, csak az acl-esekkel...
De ha nincs is külön gép, akkor is minek keverni a két világot feleslegesen? 8)
[quote:68d710cc83="blanc"]
Ráadásul ezek szerint neki még működik is. Nem szüttyög csoportokkal meg mifenékkel a 2.x-es SaMBán... A gonosz :D
A groupok és userek meg persze LDAP-ból jöttek, a linuxnak, és a sambanak is, így nincs is nagy kavarás.
[quote:f89efa423d="Previ"][quote:f89efa423d="blanc"]
Ráadásul ezek szerint neki még működik is. Nem szüttyög csoportokkal meg mifenékkel a 2.x-es SaMBán... A gonosz :D
A groupok és userek meg persze LDAP-ból jöttek, a linuxnak, és a sambanak is, így nincs is nagy kavarás.
Esetemben kértek olyat, hogy Géza (csak példa, senki se vegye magára), írhasson-törölhessen a könyvtárban, Dezső (lásd. előbb) csak olvashasson, míg Mancika (mint Dezsőnél) még arról se tudjon, hogy a könyvtár létezik.
Ez a kiindulási állapot, ezt fejelgetik hetente/havonta 1-1 újabb kollégával és beállítással. S mivel ez fájlrendszer szintű, kicsit macerás a beállítgatása. Nem az LDAP/xSQL/PAM loginolással van gond, hanem a fájlonkénti jogosultságok variálhatóságára.
Sose hittem volna, hogy érdemes Novell-t olvasgatni, hogyan hozza ki a 2-3 jogból az 6-9 jogosultságot... :D