[megoldva] Samba megosztáson lévő könyvtárak elrejtése

Hálózatok általános

Sziasztok!

Egy kis segítségre lenne szükségem az alábbi samba kérdésben.

Az egyszerűség kedvéért legyen adott egy DATA megosztás, azonbelül is 3 könyvtár

DATA
- Dir1
- Dir2
- Dir3

És két felhasználó A és B.

Jogosultságaik :

A írhatja Dir1-et, és olvashatja Dir2-t.
B Olvashatja Dir1-et, és írhatja Dir3-t.

A könyvtárak jogosultsága acl segítségével beállítva, az működik is rendesen. Hogyan lehetne azt megoldani, hogy a windows alól felcsatlakozott userek csak a számukra elérhető könyvtárakat lássák? Jelenleg mind a 3 könyvtár megjelenik nekik, de azt szeretnénk, hogy A-nak csak a Dir1, Dir2, B-nek meg csak Dir1, Dir3 jelenjen meg, mint novell alatt. Ott mindenki csak azon könyvtárakat látta amihez valamilyen jogosultsággal rendelkezett.

Persze ez a példa így eléggé egyszerűsítet, itt még nem zavaró az a plusz egy könyvtár, de valóságban százas nagyságrendről van szó, és zavaró hogy a felhasználók olyan könyvtárakat is látnak amikhez amúgy sem jogosultságuk, sem közük nem lenne. Igaz belépni nem tudnak a könyvtárakba, de azt szeretnénk ha nem is tudnának ezek létezéséről.

Előre is köszönöm a segítséget...

  • 1832 megtekintés

( vajtsz | 2009. 06. 11., cs – 12:22 )

Hát ha ACL van, akkor jogosultsagok nincsenek jol kiosztva, mert nekunk ugyanez van samba van es win kliensek bizony csak azt latjak amihez joguk van.

Kéne konkret pelda hogy milyen ACl ek vannak amivel nem muxik neked...

Ok, akkor lássunk egy példát. Ezzel a megoldással a 'csoport'-ban lévő felhasználó tud írni és olvasni az IRHATO könyvtárba, csak olvasni az OLVASHATO könyvtárból, és nem tud belépni a TILTOTT könyvtárba, viszont mindhárom könyvtár megjelenik neki win alatt a felcsatolt meghajtón, de azt szeretném ha csak az első kettő jelenne meg...

FSTeszt:/# ls -la | grep DATA

drwxr-xr-x 5 root root 4096 ápr 24 11.49 DATA

FSTeszt:/DATA# getfacl IRHATO/
# file: IRHATO/
# owner: root
# group: root
user::rwx
group::---
group:csoport:rwx
mask::rwx
other::---

FSTeszt:/DATA# getfacl OLVASHATO/
# file: OLVASHATO/
# owner: root
# group: root
user::rwx
group::---
group:csoport:r-x
mask::r-x
other::---

FSTeszt:/DATA# getfacl TILTOTT/
# file: TILTOTT/
# owner: root
# group: root
user::rwx
group::---
mask::---
other::---

------
Az akarok lenni ami akkor voltam, mikor az akartam lenni ami most vagyok...

Hat ez erdekes, nekem hasonloan vannak jogok es biza amely konyvtarhoz nincs adott usernek semmi joga azt nemis latja.

smb.conf paste ?

1-2 otlet :

Globalba :

nt acl support = No
hide unreadable = Yes

share-n
inherit acls = Yes

Amig NT ACL nekem nemvolt kikapcsolva csinalt erdekes dolgokat samba....

Masreszt ha viszonylag bonyolult jogosultsag rendszer van akkor erdemes hasznalni a Default ACL eket is szerintem.

hide unreadable = Yes

Ez volt a megoldás... :)

Mostmár csak az látszik ami kell. Sejtettem, hogy egy sor segítségével orvosolható a probléma, csak nem tudtam, hogy mi az a sor. :) Köszönöm a segítséget...

------
Az akarok lenni ami akkor voltam, mikor az akartam lenni ami most vagyok...

beállítottam ugyanezeket a global-ban.
Samba engedélyezve van, de megosztásra nem jelöltem ki semmit. setfacl-lel adtam egy-egy usernek olvasási jogot.

De sajnos semmit nem látnak a felhasználók, miután csatlakoznak a windows megosztásomhoz.

Hol lehet a bibi?

A fenti global kiegészítés előtt itt tartottam samba+acl ügyben:
http://hup.hu/node/71649

Segítségeteket előre is nagyon köszönöm!
üdv.:
Zoli

Annyit sikerült elérnem, hogy a másik gépről ha beírom terminálba:
smbclient -L
Akkor szépen bekéri a belépni kívánó user nálam beállított jelszavát s kilistázza a megosztott mappákat.
Viszont sem a jogosultságokat nem látom benne sem bele lépni nem tudom, hogy milyen paranccsal lehetne.

mert az csak listaz.....

fel kene csatolnod masik gepen azt az SMB megosztast, ha jol ertem akkor linux kliensre akarod csatolni, ott siman lehet mountolni smb vagy cifs opciokkal.

"man mount" +google a baratod :)

Azon a gepen amelyen a samba server fut, ha ott belepsz azzal a userrel amivel masik gepen (kliens) sambara csatlakozol akkor ugyanazokat a fajlokat kell latnod es ugyanolyan jogosultsagokkal mint linux consolban. Persze smb.confban lehet ezt kicsit mahinalni de alapbol ugyanaz.

Köszönöm segítséged ! Ezt idáig értem is.
De a probléma igazából nem is itt lesz, hogy tudom-e csatolni.

Hanem az, hogy kevésbé értőknek kellene használni ezt az eljárást grafikus felületen. S ráadásul időközönként változó megosztásokkal (ami miatt kizárt, hogy fstabba tudjam írni a csatolandó tartalmakat).

Ezért volna jó a gnome-ban a helyek > kapcsolódás kiszolgálóhoz menüpontot használni s simán névvel , hálózati ip-ve bejutni a gépre s böngészni az acl-lel hozzáférhetővé (olvashatóvá) tett tartalmakat.

Azonban két helyen hibádzik:
- Ha grafikus felületről osztok meg valamit samba-val akkor a 'többiek' jogosultsági szint is 'olvasás' jogot kap, amit nem szeretnék.
- Ha grafikusan lép be a 'kapcsolódás > windows megosztásra' akkor ki sem listázza azt a megosztási tartalmat ami az smbclient -L -re megtesz.

Az a baj, hogy csak 'hobbi felhasználó vagyok' s itt megállt a tudományom. Lövésem sincs, hogy mi a bibi. De az biztos, hogy nem szeretnék csoportokkal bajlódni. Jó volna ezt a könnyen osztogatható acl jogosultságot használni.

- smb.conf-om így fest: http://paste.ubuntu.com/194623/ ,
- samba-hoz természetesen hozzáadtam a másik usert, s van fiókja a gépemen is,
- fstabban be is van állítva az acl kapcsoló a szükséges partíciókra

Mivel kerülhetnék közelebb a megoldáshoz? Van még olyan konfigurálási lehetőség amit nem találtam meg ???

Lehet en vagyok vak, de seholse latom a valaszodat arra, hogy adott sima userrel belepsz SSH val samba serverre (NEM samba megosztasra) siman consolba adott suerrel akkor ugyanugy nem latod/nem latod adott dolgokat ?

Ha nem ertesz hozza es azt akarod hogy mas csinalja meg helyetted akkor tudni kene pontosan mi a cel. Ezt a grafikus next next klikk samba megosztas dolgot en nem ismerem, nemtudom milyen opciokat lehet beallitani vele.

A 'többiek' olvasasi jogot kapnak ugy tudnad megoldani hogy a megosztani kivant konyvtarak/fájlokat megfelelo jogosultsaggal latod el (ha csoportokat nem akarsz akkor pl 700.
Ha sambaval csinaljak ezen fajlokat amit meg akarsz osztani akkor megosztas alatt az smb.conf ban :

create mask=0700
Ezzel elered azt hogy a samba ezzel csinalja a fajlokat.

De tovabbre sem ertem a problemat pontosan. Lenyeg hogy sztem nem azt kene eroltetni hogy a samba rejtse el a fajlokat/konyvtarakat, hanem unix/acl jogokkal megtenni ugyanezt.