Samba az almappákhoz való hozzáférés egyetlen bejövő ponton keresztül
Célkitűzés: A fájlmegosztás SAMBA, hogy az emberek más gépek is egy speciális mappát közös belépni az egyetlen engedélyezett számukra almappák folderA és folderB könyvtárban. Továbbá, és a fájlokat és mappákat, hogy biztosítsa a jogokat a maszk 770. Vagyis a felhasználók egy mappában kell a jogot, hogy működjön együtt az összes dokumentumot abban a mappában függetlenül attól, aki teremtette őket. Szintén meg kellett tiltani az alkönyvtárakhoz való közvetlen hozzáférést, megkerülve a főt egy külső számítógépről.
Így a mappák hierarchiája a következő:
közös
- folderA
- folderB
A folyamat során a probléma megoldásának azt találták, hogy az almappákat SAMBA működik csak a rabszolgája algoritmusok és minden írva manah, hogy gyakorlatilag nem alkalmazzák, néhány kivételtől eltekintve. Mindazonáltal, a böjt és az imádság sikerült létrehozni egy működőképes konfigurációt, amelyben a fenti követelmények teljesültek.
Itt van a config (/etc/samba/smb.conf):
[Global]
munkacsoport = WORKGROUP
security = felhasználó
vendég ok = nem
[Common]
path = / var / samba
érvényes felhasználók = @everybody
force group = + bárki
írható = igen
create mask = 0660
erő létrehozási mód = 0110
könyvtármaszk = 0770
[FolderA]
path = / var / samba / mappaA
érvényes felhasználók = @users_folderA
erőcsoport = + users_folderA
böngészhető = nincs
[FolderB]
path = / var / samba / mappaB
érvényes felhasználók = @users_folderB
erőcsoport = + users_folderB
böngészhető = nincs
Három felhasználói csoport van: Mindenki. users_folderA és users_folderB.
A felhasználók például például 3: den. sam és alex.
A den és sam felhasználók csak a users_folderA mappát használhatják. és a felhasználói alex - csak a users_folderB mappát. Ezeknek az almappáknak a elérési útja a közös könyvtáron keresztül történik (/ var / samba), így minden felhasználó külön csoportba kerül. Ez egyfajta belépési pont az engedélyezett felhasználók számára.
Mentjük a konfigurációt, ellenőrizzük és újraindítjuk a SAMBA-t:
# testparm
# service smbd restart
# service nmbd restart
Most foglalkozunk a mappák szervezésével és a hozzájuk való jogokkal.
Be kell állítania a következő jogokat:
# chown root: Minden / var / samba
# chmod 770 / var / samba
# chown root: users_folderA / var / samba / mappaA
# chmod 2770 / var / samba / mappaA
# chown gyökér: users_folderB / var / samba / folderB
# chmod 2770 / var / samba / mappaB
Ezért megtiltjuk az összes engedélyezett csoport tagjai számára, hogy megtekinthessenek és létrehozhassanak fájlokat a közös mappában és minden almappájában mind a külső csomópontokból, mind a belső héjból.
Azonban furcsa módon a belső mappák mappájábanA és a B könyvtárban lévő fájlok és almappák létrehozásának jogai a szülőmappa [közös] szakaszában előírt jogoktól származnak. Ezenkívül nem kell kifejezetten megadni a [folderA] és [folderB] alfejezeteket - egyszerűen figyelmen kívül hagyják őket.
Jogok 2770, kiállított folderA és folderB mappát biztosítja, hogy minden fájlt és almappát, amelyek közül mindig létrejön a megfelelő alcsoportok ezen főmappát, mely a felhasználók alcsoportok teljes hozzáférést minden olyan dokumentumot és almappákat, ha azokat más felhasználók által létrehozott.
Az erő létrehozási mód = 0110 direktívára van szükség annak érdekében, hogy az újonnan létrehozott fájlok mellett a létrehozó maszk irányelv által nem meghatározott tulajdonosnak és csoportnak végrehajtható bitje legyen. Az erő létrehozása mód direktívája a fő hozzáférési maszkra vonatkozik az OR elvére, és beállítja a bitet, ha nem a létrehozásmaszk irányelv határozza meg.
Az erőcsoport = irányelv + alcsoport tiltja a mappákhoz való hozzáférést mindenki számára, aki nem tartozik ebbe az alcsoportba. Őszintén szólva, nem értem, hogy egy felhasználó, aki nem tartozik alcsoportba, egyáltalán hozzáférhet a megfelelő almappához, de az extra óvintézkedés nem fog fájni.
A fő szakaszban írható = igen irányelv lehetővé teszi a fő közös mappába való írást. ugyanakkor határozottan beállítja a mappában található írási jogosultságokat és almappákat, amelyeket nem lehet belső szakaszokba újra definiálni. Ez a furcsa örökség az írási szabályok lehetővé teszi írást folderA és folderB alkönyvtárak csak akkor, ha jött rájuk keresztül a szülő könyvtár közös. Ha közvetlenül megpróbál hozzáférni az almappákhoz, azok csak olvashatóak lesznek, és az engedélyezett alcsoporttagok sem tudnak semmit az almappák tartalmával sem.
Az irányelv böngészhető = nincs általánosan elrejti az almappákat a látómezőtől kívülről. Ezért ha más hálózatokból keresi a hálózati környezetet, csak a közös mappát fogja látni.
Így a probléma teljesen megoldódott, bár a SAMBA bizonyos jellemzői egyáltalán nem felelnek meg az emberben írt, sőt ellentmondónak.