имеем комп, на котором грутится samba сервер, который входит в виндовый домен Win2k3на файловой шаре с горем пополам лежат файлы и папки 2х десятков пользователей, в общем реализован файлообменник следующей структуры
[fls]
comment = raid0asu2
path = /mnt/samba
valid users = "@domain users"
admin users = "@domain admins"
read only = No
create mask = 0660
directory mask = 0770
inherit permissions = Yes
inherit acls = Yes
inherit owner = Yes
map acl inherit = Yes
locking = No\\samba\fls\ - сам ресурс
\\samba\fls\Иванов
\\samba\fls\Иванов\private
\\samba\fls\Петров
\\samba\fls\Козлов
\\samba\fls\Сидоров
^------- "личные каталоги пользователей"подразумевается следующая "политика работы":
* админы могут всё =) ну это само собой
* пользователи в своих каталогах могут всё(кроме смены владельца и смены атрибутов доступа)
* пользователи в своих каталогах должны иметь право удалять всё, в том числе то, что у них понасоздавали другие пользователи(тобишь должен работать механизм наследования прав с вшестоящего каталога, но что то он не рпботает =))
* пользователи в чужих каталогах могут создавать всё что угодно и удалять только то что создали сами, чужое удалять они не должны и в private к чужим им тоже нельзяпроблема в том что, при создании файла или папки его владельцем является почему то root\root - это раз. (владельца возможно сменить с PDC, это к тому что его можно установить)
вовторых любые манипуляции с creater owner сопровождаются ошибками invalid parametr, это к тому что нельзя установить атрибуты доступа для "владельца" и для "прочих"так же неработают "запрещающие 'галки' доступа", вовремя приминения просто пропадают, как будто их не ставили.
у кто нибудь есть опыт в решении подобных задачь ?
у меня на данный момент работает пока так: пока админ не разрулит права для всех, они не заработают, а так все файлики у пользователей с владельцем рута.
inherit для начала убейте...
> inherit для начала убейте...разве не ?
# наследовать владельца (вышестоящей директории)
# inherit owner = yes
# наследовать ACL
# inherit acls = yes
# наследовать права
# inherit permissions = yesс "наследованием владельца", с галками, с creator owner ---^ это ничего не изменило
> inherit для начала убейте...ни на что из вышеперечисленного данное действе не повлияло.
и если должно было то, на что ? объясните пожалста
> проблема в том что, при создании файла или папки его владельцем является
> почему то root\rootnfs4:chown = yes
> так же неработают "запрещающие 'галки' доступа", вовремя приминения просто пропадают,
> как будто их не ставили.на файловой системе acl включены?
>> так же неработают "запрещающие 'галки' доступа", вовремя приминения просто пропадают,
>> как будто их не ставили.
> на файловой системе acl включены?Собственно что говорят getfacl и stfacl?
>>> так же неработают "запрещающие 'галки' доступа", вовремя приминения просто пропадают,
>>> как будто их не ставили.
>> на файловой системе acl включены?
> Собственно что говорят getfacl и stfacl?
publics #> getfacl Иванов\ Иван\ Иванович/
# file: Иванов Иван Иванович/
# owner: ivanov.ii
# group: domain\040users
user::rwx
user:root:rwx
group::r-x
mask::rwx
other::---
default:user::rwx
default:group::r-x
default:group:domain\040users:r-x
default:mask::rwx
default:other::---publics #> pwd
/mnt/samba/publics
publics #> mount | grep -i /mnt/samba
/raid0/asu2sambashare.reiserfs on /mnt/samba type reiserfs (rw,acl)да, acl включены,а причем тут nfs ?
дак allow галочки выставляются, но если ставить deny на какой нибудь из строк, то происходит только снятие allow, deny остаётся пустым, тобишь получается "не разрешено", "запрещено" не выставляется.
получается не реазизован механизм "запрещения", только механизм "не разрешения"
>[оверквотинг удален]
>
> ^------- "личные каталоги пользователей"
> подразумевается следующая "политика работы":
> * админы могут всё =) ну это само собой
> * пользователи в своих каталогах могут всё(кроме смены владельца и смены
> атрибутов доступа)
> * пользователи в своих каталогах должны иметь право удалять всё, в
> том числе то, что у них понасоздавали другие пользователи(тобишь должен работать
> механизм наследования прав с вшестоящего каталога, но что то он не
> рпботает =))Если пользователь владеет каталогом он и так может удалить в нём всё что угодно на один уровень. Для удаления рекурсивно на каталог нужно поставить default acl default:user:rwx который будет наследоваться всем вложенным.
> * пользователи в чужих каталогах могут создавать всё что угодно и
> удалять только то что создали сами, чужое удалять они не должныПопробуйте на каталог chmod +t (даёт право удалять только своё, владелец каталога продолжает удалять всё что хочет) ну и дать domain users chmod g+rwx на каталог (это чтобы они могли создавать в чужом каталоге).
> и в private к чужим им тоже нельзя
> проблема в том что, при создании файла или папки его владельцем является
> почему то root\root - это раз. (владельца возможно сменить с PDC,
> это к тому что его можно установить)
> вовторых любые манипуляции с creater owner сопровождаются ошибками invalid parametr, это
> к тому что нельзя установить атрибуты доступа для "владельца" и для
> "прочих"
> так же неработают "запрещающие 'галки' доступа", вовремя приминения просто пропадают,
> как будто их не ставили.Ну дак в unix этих галок нет, на что им мапиться? Максимум они убирают разрешающие acl в unix и пропадают.
> у кто нибудь есть опыт в решении подобных задачь ?угу есть, есть ещё много глюков которых ты по ка ещё не встретил.
> у меня на данный момент работает пока так: пока админ не разрулит
> права для всех, они не заработают, а так все файлики у
> пользователей с владельцем рута.
> угу есть, есть ещё много глюков которых ты по ка ещё не
> встретил.шумани, tkpiuk гаф-гаф гмэйл тчк ком =)
>> угу есть, есть ещё много глюков которых ты по ка ещё не
>> встретил.
> шумани, tkpiuk гаф-гаф гмэйл тчк ком =)Не, пиши тут ;)