День добрый , хотле поставить самбу с авторизацией для нескольких отделов. Смысл просто не дать копировать и просматривать данные из сосоедних папок.
Так же бился с подобной проблемой, но когда встал вопрос о том, что некоторым пользователям нужно видеть несколько шар и Windows начала руготься на то, что "множественные подключения запрещены" выбрал иной путь: одна шара + ACL.
[global]
pam password change = yes
workgroup = WORKGROUP
syslog = 0
max log size = 1000
map to guest = bad user
log file = /var/log/samba/log.%m
usershare allow guests = yes
passwd program = /usr/bin/passwd %u
passdb backend = tdbsam
server string = %h server (Samba, Ubuntu)
server role = standalone server
unix password sync = yes
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
obey pam restrictions = yes
dns proxy = no
panic action = /usr/share/samba/panic-action %d
socket options = TCP_NODELAY SO_RCVBUF=524288 SO_SNDBUF=524288 IPTOS_LOWDELAY
name resolve order = wins lmhosts hosts bcast
Собственно параметры шары:
[Work]
comment = "Общий диск"
path = /srv/samba/work
read only = no
guest ok = no
valid users = @All_Group
hide unreadable = yes
hide unwriteable files = yes
vfs objects = recycle
recycle:keeptree = Yes
recycle:touch = Yes
recycle:touch_mtime = Yes
recycle:versions = Yes
recycle:maxsize = 105057800
recycle:exclude = *.iso, *.tmp, *.temp, ?~$*, ~$*, *.TMP, ~*
recycle:repository = /srv/samba/work/$Recycle.Bin/%U
hide files = /$*/desktop.ini/lost+found/Thumbs.db/~*/
hide dot files = yes
veto files = /*.avi/*.mkv/*.mp3/*.wav/*.flac/
delete veto files = yes
valid users = @All_Group - Только пользователи из этой грыппы могут видеть шару
hide unreadable = yes - не отображает файлы и каталоги, который нельзя читать
hide unwriteable files = yes - тоже, но без разрешения на запись
vfs objects = recycle - создаю "корзину" на шаре
hide files = /$*/desktop.ini/lost+found/Thumbs.db/~*/ - скываю файлы
hide dot files = yes - не показывать файлы с точкой в начале
veto files = /*.avi/*.mkv/*.mp3/*.wav/*.flac/ - запрещенный файлы
delete veto files = yes - не разрешать сохранять запрещенные файлы
В файле /etc/fstab к опциям монтирования добавил "acl". После этого создаём и добавляем пользователей в соответствующие группы (у меня 6 групп + 1 общая).
Далее с помощью setfacl устанавливаем права на каталоги
Общая группа на шару
setfacl -Rm g:All_Group:rwx,u::-,o::- /srv/samba/work
setfacl -Rm d:g:All_Group:rwx,d:u::-,d:o::- /srv/samba/work
Пример назначения на конкретнуюю папку
setfacl -Rm g:Doc_Group:rwx,u::-,o::- /srv/samba/work/Документы
setfacl -Rm d:g:Doc_Group:rwx,d:u::-,d:o::- /srv/samba/work/Документы
Просмотр прав командой "getfacl /srv/samba/work"
getfacl: Удаление начальных '/' из абсолютных путей
# file: srv/samba/work
# owner: root
# group: root
user::---
group::---
group:All_Group:rwx
mask::rwx
other::---
default:user::---
default:group::---
default:group:All_Group:rwx
default:mask::rwx
default:other::---
Права на папку из примера "getfacl /srv/samba/work/Документы"
getfacl: Удаление начальных '/' из абсолютных путей
# file: srv/samba/work/Документы
# owner: root
# group: root
user::---
group::---
group:Doc_Group:rwx
mask::rwx
other::---
default:user::---
default:group::---
default:group:Doc_Group:rwx
default:mask::rwx
default:other::---
Так выглядит дерево каталогов, "Общая информация" - к ней имеют доступ все
/srv/samba/work
├── $Recycle.Bin
├── Документы
├── Менеджера
├── Общая информация
├── Объекты
├── Офис
├── ПТО
└── СГ
P.S. Единственное, что никак не могу побороть так это очень низкая скорость чтения/записи 2 МБ/с, хотя там же установлен Nextcloud и на нем при загрузке/выгрузке файлов через интернет скорость 11 МБ/с