samba jogok acl ?

Linux-kezdő

Sziasztok,

Samba jogosultságokat kellene beállítanom, egy megosztáson belül. Ez azt jelentené, hogy a megosztáson belül van X mappa, amihez valaki olvasási joggal, van aki pedig írási jogokkal fér hozzá. A fájlok reiserfs rendszeren vannak. A samba ldap-ból authentikál. Ezt csak acl-el lehet megoldani ? Ha igen, akkor kellene egy rövid tutorial,mert ilyet még nem csináltam.
Köszi

  • 2775 megtekintés

( Sempi | 2010. 07. 19., h – 20:55 )

A következőt már kb. az ötödik témában hozom fel. Remekül sikerült leírás:

http://wiki.hup.hu/index.php/Samba_PDC%2BLDAP%2BPAM/NSS_Debian_Lennyn

A "Megosztott könyvtárak jogosultság szabályozása" szakaszt tanulmányozd.

Én úgy használom, hogy egy kis scripttel készítek egy jó hosszú szöveges fájl, minden felhasználóhoz és minden könyvtárhoz egy-egy sor. Alapban csak r jog, hogy lássa a könyvtárat és ahol kell kap rwx-et.

A szöveges fájlra adok futási jogot és ha módosítás van lefuttatom az egészre.

biztos van jobb megoldás, de nálam működik, meg vagyok elégedve vele...

Üdv

Sempi

PHPAdmin - Ha a táblázatkezelő már nem elég...

( skuba | 2010. 07. 19., h – 21:54 )

Szia.
Azt sem ártana megnézned hogy a kernelben be van-e állítva reiserfs alatt az acl támogatás.

~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~
Zenwalker

Előre bocsátom, nem vagyok profi a témában.
Láttam egyszer egy olyat, hogy ha AD-nak megfelelő funkcionalitást oldasz meg, tehát openldap-samba, akkor a szokásos windwos admin eszközökkel is lehet kezelni. Valami olyan cucc, mint a group policy editor és társai.
Részletekre nem emlékszem sajnos. Régen volt.

Nem az, hogy van-e vagy nincs, hanem, hogy használják-e? Egy régi motoros admin kollégával beszélgettünk pont erről, és a NetWare-es időkre emlékezve annyit mondott, hogy ha valaki az ő gépein (szerk: hp, aix, foslinux) akarna ACL-t bevezetni, azt megfojtaná.
--
2e845cb4c3a5b5bd6508455b1739a8a2

Szerintem a unix rendszerek egyik hátránya pont az, hogy van három entitás (owner, group, others) meg van a három jog (rwx), oszt csókolom. Elég gyakran előfordul, hogy egyes objektumokhoz akár egy csoporton belül sem férhet hozzá mindenki. Azaz hiába van legalább group 'r' az objektumon, ha egyszerűen nem szeretném, ha a tízből két ember lássa azt az objektumot. Arról nem is beszélve, ha az owneren kívül még egy embernek írnia kell, de másnak nem. No ha ezeket megoldod ACl nélkül, akkor még három kérdésem van hozzád és jöhetsz ide dolgozni nagyon nagy zséért. :)

A fenti eset egyébként nagyon gyakran előfordul samba esetén.

Sajnos ez az emlegetett ZS a Z után szokott lenni :(

Mindenki a saját home könyvtárában symlinken keresztül látja azt a könyvtárat amit láthat.
Ha benne van a csoportban akkor írhat is, ha csak olvashat, akkor csak "other".

Ha nem láthatja, neki nincs ott az a symlink.

Sőt, csak arról a gépről láthatja, amelyikről megengeded: 


# smb.conf

[megosztas]
    path = %H/.%m

saját könyvtár:



/home/user/.egyikgep-neve  # ebben a könyvtárban látja, amit láthat,
                           # itt vannak a fent említett symlinkek

           ~.masikgep-neve # symlink to ./.egyikgep-neve

Van egy technical support csoport. Vannak dokumentumaik. A csapat vezetőjének mindenre joga van, de a többi kollégának projektfüggő, hogy az egyes dokumentumokhoz milyen formában férhetnek hozzá. Például a peer review-t végző kollégának csak olvasás joga kell legyen rajta, a többinek meg semmi, a tulajdonosnak minden (illetve a vezetőnek minden). Felvesznek egy új kollégát ebben a csoportba. Aki viszont semmilyen "éles" dologba nem láthat bele és a főnök dönti el, hogy egyes projekteken belül például csak a billofmaterialst láthatja, de a többi doksit nem. A másik könyvtárban viszont a szerződéseket láthatja és más semmit. Minekinek windows-a van. És Te egyáltalán nem férhetsz hozzá a dokumentumokhoz, hogy jogosultságokat állíts, illetve szanaszét szimlinkeld a könyvtárakat (mivel nem szabad belelátnod még a könyvtárba sem). Hozzáteszem, hogy a symlink örökli ugye az eredeti jogosultságait, így hiába symlinkelsz, mert a fenti problémát az ugo-val és rwx-el meg nem oldod sose. :)

Kérlek symlinkeld ezt úgy egyes felhasználók könyvtárába, hogy a következőknek feleljenek meg:
- Mindenki a ts_group csoportban van
- az állomány egy pdf mondjuk, és a unix jogosultsága 600 (avval jöttek létre), és mondjuk egy olyan kolléga hozta létre aki már nem dolgozik a cégnél ezért nincs olyan uid.

Anna: a tulajdonosa, így írhatja és olvashatja
BigBoss: ő is írhatja és olvashatja
Joe: olvashatja, de nem írhatja
Ben: mint Joe
Sarah: láthatja hogy létezik ilyen doksi, de nem olvashatja és nem írhatja

Ezen kívül még az eng_group-ból Robert kapjon írásjogot rá.

A példa elég szemléletes azt hiszem. Ha szimlinkeled akárhova is az állományt, attól 600 marad az eredeti helyén. A tulajdonosa pedig nem is létezik.

hát én inkább elkerültem ezek egy részét.
a samba megosztás noexec, 775 az alapjog, az új tulajdonosé lesz a régi cucca.

a probléma ettől Sarah-val és velem, mint adminnal persze megmaradna. (láthatás) :)

Nekem kevés win-felhasználóm van és muszáj látnom _mindent_ .
Nagyobb és bonyolultabb hierachiájú vállalati szerkezetnél és nagyméretű megosztásnál persze egészségesebb az "extended symlink interpreter", szöveges konfig állománnyal, mint tettleg irogatni a jogokat, symlinkeket.
Pláne, ha az eltűnt user-re Sarah-ra és az adminra is intézkedni kell (egyszerű formában)

"...Minekinek windows-a van. És Te egyáltalán nem férhetsz hozzá a dokumentumokhoz, hogy jogosultságokat állíts, illetve szanaszét szimlinkeld a könyvtárakat (mivel nem szabad belelátnod még a könyvtárba sem). Hozzáteszem, hogy a symlink örökli ugye az eredeti jogosultságait, így hiába symlinkelsz, mert a fenti problémát az ugo-val és rwx-el meg nem oldod sose. :)"

És ezt ACL-lel megoldod így?

Nem én oldom meg, mivel én nem férhetek hozzá a dokumentumokhoz (idéztél is), hanem a windows-on levő ember állít jogosultságokat a jobbegér+properties mágikus kombóval. Azok a windows-os jogosultságok pedig map-elődnek a megfelelő ACL jogosultságokra.

Értem én, hogy bele akarsz kötni, de van számos más probléma is a gondolatmenetemmel. De a fenti csak egy példa volt. És egyébként ha nem is konkrétan a fenti példát, de hasonlót ACL-el a legegyszerűbb megoldani. A fenti példában kerülném az SELinux-ot. Számomra (hangsúlyozom, hogy számomra) az ACL lenne a legegyszerűbb (illetve itt egy inherit acl a samba konfigban).

Nem vagyok hülye...csak feltételeztem, hogy bele akarsz kötni...amúgy bele is lehet :)
Hiába na. A sok f@szkalap miatt az ember már nem is mer arra gondolni, hogy normális kérdést tesznek fel neki. :)

Ok, akkor elnézést kérek, hogy betámadtam. Tényleg azt hittem kötözködni akarsz. :)

Ja és "anyukám mindig azt mondta, hogy hülye aki mondja (Forest Gump)". :D

Viszont az is hülye, aki nem tesz fel hülye kérdéseket.

A "belekötés" is tudna normális lenni, ha nem "érzelmi hitvita alapú leugatás" lenne a legtöbbször.

Tettem itt már közzé scriptet és vártam, hogy valaki "belekössön". Meg is volt, két sor is ki lett javítva - működött addig is, csak a tanácsolt megoldás rövidebb, velősebb és elegánsabb volt.

Ha valaki feléd suhint, akkor ellépsz mellette, mert különben csata lesz és a többiek nagyon fogják unni. Viszont jönnek a vámpírok tunkolni, hónuk alatt a két vekni kenyérrel a tömegszerencsétlenkedéshez.

--------
"Szebb honlapot" :-)

Természetesen mással is meg lehet oldani, mint pl az RBAC, vagy az SELinux, vagy ami az ember eszébe jut. Számos lehetőség van. Ezért jó a Unix világ. Válogathatsz. :)
De itt most az ACL-t kérdőjelezték meg, és én azt védtem meg. Majd ha az SELinux-ot köpködik, akkor azt védem meg. :)
A többit meg majd rád bízom. :D

ja egy update: samba alatt gyakran előfordul, de nem csak ott. Szóval ha nem windows-os a környezet, akkor is gyakran szükség lehet ACL-re.

Jah...hát ez bizony függ attól, hogy milyen környezetbe kerül az ember. Én az SELinux-ot is úgy "tanultam" meg, hogy azt mondták itt ez van, oszt jóccakát, eszem nem eszem, leszarják, csináljam meg. Aztán két hétig vért pisáltam, meg a gatyámat is ráfizettem a telefonos segítségre. :)
De olyan helyen is voltam, ahol mindent leszartak, ami biztonság...sőt, ha próbálkoztam, hogy "na ezt azé' így mégse", akkor engem csesztek le.

Cége válogatja na.

( RGeri | 2010. 08. 08., v – 19:36 )

Közben sikerült megoldani. Reiserfs, acl támogatással, és acl opcióval mountolva. Grafikusan eiciel gui-val lehet a jogosultságokat beállítani, egy X forward, és egy xming után. Nyilván az alap jogosultásgokat beállítottam konzolból, de utánna a cégvezető kérése volt, hogy ő tudjon jogokat állítani. Megkapta :-)

--
r@g3
jáTék0s l1NuX [http://www.youtube.com/user/gerig0d]>

ööö...de izé az inherit acl opció használatával még csak xforward+xming sem kellett volna. Simán a windowsában beállítja a jobbegér+jogosultságfül (ha van ilyen...mittomén :) ) használatával a samba megosztás jogosultságait a windows sémákathasználva (nem kell megtanulnia az ugo-t, meg az rwx-et)