Новые ответы

Samba в домене Windows 2k3 Проблемма 'создателя файла\папки' ,

psychos, 29-Авг-11, 13:40 [смотреть все]

имеем комп, на котором грутится samba сервер, который входит в виндовый домен Win2k3
на файловой шаре с горем пополам лежат файлы и папки 2х десятков пользователей, в общем реализован файлообменник следующей структуры
[fls]
        comment = raid0asu2
        path = /mnt/samba
        valid users = "@domain users"
        admin users = "@domain admins"
        read only = No
        create mask = 0660
        directory mask = 0770
        inherit permissions = Yes
        inherit acls = Yes
        inherit owner = Yes
        map acl inherit = Yes
        locking = No
\\samba\fls\ - сам ресурс
\\samba\fls\Иванов
\\samba\fls\Иванов\private
\\samba\fls\Петров
\\samba\fls\Козлов
\\samba\fls\Сидоров
                ^------- "личные каталоги пользователей"
подразумевается следующая "политика работы":
* админы могут всё =) ну это само собой
* пользователи в своих каталогах могут всё(кроме смены владельца и смены атрибутов доступа)
* пользователи в своих каталогах должны иметь право удалять всё, в том числе то, что у них понасоздавали другие пользователи(тобишь должен работать механизм наследования прав с вшестоящего каталога, но что то он не рпботает =))
* пользователи в чужих каталогах могут создавать всё что угодно и удалять только то что создали сами, чужое удалять они не должны и в private к чужим им тоже нельзя
проблема в том что, при создании файла или папки его владельцем является почему то root\root - это раз. (владельца возможно сменить с PDC, это к тому что его можно установить)
вовторых любые манипуляции с creater owner сопровождаются ошибками invalid parametr, это к тому что нельзя установить атрибуты доступа для "владельца" и для "прочих"
так же неработают "запрещающие 'галки' доступа", вовремя приминения просто пропадают, как будто их не ставили.
у кто нибудь есть опыт в решении подобных задачь ?
у меня на данный момент работает пока так: пока админ не разрулит права для всех, они не заработают, а так все файлики у пользователей с владельцем рута.

Ответить | Сообщить модератору

Samba в домене Windows 2k3 Проблемма 'создателя файла\папки' , Сергей, 16:25 , 29-Авг-11 (1)
inherit для начала убейте...
Ответить | Сообщить модератору

Samba в домене Windows 2k3 Проблемма 'создателя файла\папки' , psychos, 06:55 , 30-Авг-11 (2)
>  inherit для начала убейте...
разве не ?
        # наследовать владельца (вышестоящей директории)
#        inherit owner           = yes
        # наследовать ACL
#       inherit acls            = yes
        # наследовать права
#        inherit permissions     = yes
с "наследованием владельца", с галками, с creator owner ---^ это ничего не изменило
Ответить | Сообщить модератору
Samba в домене Windows 2k3 Проблемма 'создателя файла\папки' , psychos, 15:07 , 30-Авг-11 (3)
> inherit для начала убейте...
ни на что из вышеперечисленного данное действе не повлияло.
и если должно было то, на что ? объясните пожалста
Ответить | Сообщить модератору

Samba в домене Windows 2k3 Проблемма 'создателя файла\папки' , VaaN, 13:04 , 02-Сен-11 (4)
> проблема в том что, при создании файла или папки его владельцем является
> почему то root\root
nfs4:chown = yes
> так же неработают "запрещающие 'галки' доступа", вовремя приминения просто пропадают,
> как будто их не ставили.
на файловой системе acl включены?
Ответить | Сообщить модератору

Samba в домене Windows 2k3 Проблемма 'создателя файла\папки' , VaaN, 13:05 , 02-Сен-11 (5)
>> так же неработают "запрещающие 'галки' доступа", вовремя приминения просто пропадают,
>> как будто их не ставили.
> на файловой системе acl включены?
Собственно что говорят getfacl и stfacl?
Ответить | Сообщить модератору

Samba в домене Windows 2k3 Проблемма 'создателя файла\папки' , psychos, 07:39 , 05-Сен-11 (6)
>>> так же неработают "запрещающие 'галки' доступа", вовремя приминения просто пропадают,
>>> как будто их не ставили.
>> на файловой системе acl включены?
> Собственно что говорят getfacl и stfacl?
```
publics #> getfacl Иванов\ Иван\ Иванович/
# file: Иванов Иван Иванович/
# owner: ivanov.ii
# group: domain\040users
user::rwx
user:root:rwx
group::r-x
mask::rwx
other::---
default:user::rwx
default:group::r-x
default:group:domain\040users:r-x
default:mask::rwx
default:other::---publics #> pwd
/mnt/samba/publics
publics #> mount | grep -i /mnt/samba
/raid0/asu2sambashare.reiserfs on /mnt/samba type reiserfs (rw,acl)
```
да, acl включены,а причем тут nfs ?
дак allow галочки выставляются, но если ставить deny на какой нибудь из строк, то происходит только снятие allow, deny остаётся пустым, тобишь получается "не разрешено", "запрещено" не выставляется.
получается не реазизован механизм "запрещения", только механизм "не разрешения"
Ответить | Сообщить модератору

Samba в домене Windows 2k3 Проблемма 'создателя файла\папки' , tux2002, 19:20 , 02-Дек-11 (7)
>[оверквотинг удален]
>
>     ^------- "личные каталоги пользователей"
> подразумевается следующая "политика работы":
>  * админы могут всё =) ну это само собой
>  * пользователи в своих каталогах могут всё(кроме смены владельца и смены
> атрибутов доступа)
>  * пользователи в своих каталогах должны иметь право удалять всё, в
> том числе то, что у них понасоздавали другие пользователи(тобишь должен работать
> механизм наследования прав с вшестоящего каталога, но что то он не
> рпботает =))
Если пользователь владеет каталогом он и так может удалить в нём всё что угодно на один уровень. Для удаления рекурсивно на каталог нужно поставить default acl default:user:rwx который будет наследоваться всем вложенным.
>  * пользователи в чужих каталогах могут создавать всё что угодно и
> удалять только то что создали сами, чужое удалять они не должны
Попробуйте на каталог chmod +t (даёт право удалять только своё, владелец каталога продолжает удалять всё что хочет) ну и дать domain users chmod g+rwx на каталог (это чтобы они могли создавать в чужом каталоге).
> и в private к чужим им тоже нельзя
> проблема в том что, при создании файла или папки его владельцем является
> почему то root\root - это раз. (владельца возможно сменить с PDC,
> это к тому что его можно установить)
> вовторых любые манипуляции с creater owner сопровождаются ошибками invalid parametr, это
> к тому что нельзя установить атрибуты доступа для "владельца" и для
> "прочих"
> так же неработают "запрещающие 'галки' доступа", вовремя приминения просто пропадают,
> как будто их не ставили.
Ну дак в unix этих галок нет, на что им мапиться? Максимум они убирают разрешающие acl в unix и пропадают.

> у кто нибудь есть опыт в решении подобных задачь ?
угу есть, есть ещё много глюков которых ты по ка ещё не встретил.
> у меня на данный момент работает пока так: пока админ не разрулит
> права для всех, они не заработают, а так все файлики у
> пользователей с владельцем рута.
Ответить | Сообщить модератору

Samba в домене Windows 2k3 Проблемма 'создателя файла\папки' , psychos, 18:40 , 03-Дек-11 (8)
> угу есть, есть ещё много глюков которых ты по ка ещё не
> встретил.
шумани, tkpiuk гаф-гаф гмэйл тчк ком =)
Ответить | Сообщить модератору

Samba в домене Windows 2k3 Проблемма 'создателя файла\папки' , tux2002, 22:36 , 03-Дек-11 (9)
>> угу есть, есть ещё много глюков которых ты по ка ещё не
>> встретил.
> шумани, tkpiuk гаф-гаф гмэйл тчк ком =)
Не, пиши тут ;)
Ответить | Сообщить модератору