Форум русскоязычного сообщества Ubuntu


Автор Тема: samba для организации  (Прочитано 908 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн sadam112

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
samba для организации
« : 08 Декабря 2016, 06:37:49 »
День добрый , хотле поставить самбу с авторизацией для нескольких отделов. Смысл просто не дать копировать и просматривать данные из сосоедних папок. Вроде бы все просто создать папки в конфиге добавить несколько папок и написать для них правила. Но произходит какая то неприятность, что пользователь авторизававщись в любой из папок может просматривать другие папки не вводя пароля. Я сначала думал что может пароль у всех одинаковый ( тест все таки ), но пользователи везде разные и группы доступа разные и пароли разные поставил. Но тоже самое повторилось. Но от этого эффекта не избавился все равно что бы не делал происходит тоже самое , пользователь авторизовавщись в одной из папок в другие заходит без ввода пароля. Из преведенного ниже можно понять что user003 user004 эот свободные папки без пароля.

Единственное что делал в конфиге в секции глобал - это дописал security = user

Вот мои секции :

[user001]
comment =
path = /home/user001
browseable = yes
read only = no
guest ok = no
create mask = 0660
directory mask = 0660
writable - yes
valid user = @user001 user001
write list = user001
force user = user001
force group = user001

[user002]
path = /home/user002
browseable = yes
read only = no
guest ok = no
writable = yes
create mask - 0660
directory mask = 0660
writable = yes
valid user = user002 @user002
write list = user002
force user = user002
force group = user002

[user003]
path = /home/user003
read only = no
browseable = yes
guest ok = no
writable = yes
create mask = 0660
directory mask = 0660

[user004]
path = /home/user004
read only = no
browseable = yes
guest ok = no
create mask = 0660
directory mask = 0660

[user005]
path = /home/user005
read only = no
browseable = yes
guest ok = no
create mask = 0660
directory mask = 0660
valid user = @user005 user005
write list = user005
force user = user005
force group = user005


Цитата: Правила форума
1.4. Листинги и содержимое текстовых файлов следует добавлять в сообщение с помощью тегов [spoiler]...[/spoiler] или [code]...[/code], либо прикреплять к сообщению в виде отдельного файла.

--Aleksandru
« Последнее редактирование: 08 Декабря 2016, 16:16:54 от Aleksandru »

alexxnight

  • Гость
Re: samba для организации
« Ответ #1 : 08 Декабря 2016, 12:44:31 »
Лучше всего сделать ACL для папки на группы пользователей.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: samba для организации
« Ответ #2 : 09 Декабря 2016, 01:10:45 »
сделать ACL для папки на группы пользователей
+1 за группы.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн aleks-nl5

  • Новичок
  • *
  • Сообщений: 44
    • Просмотр профиля
Re: samba для организации
« Ответ #3 : 16 Января 2017, 15:28:12 »
День добрый , хотле поставить самбу с авторизацией для нескольких отделов. Смысл просто не дать копировать и просматривать данные из сосоедних папок.

Так же бился с подобной проблемой, но когда встал вопрос о том, что некоторым пользователям нужно видеть несколько шар и Windows начала руготься на то, что "множественные подключения запрещены" выбрал иной путь: одна шара + ACL.

[global]
        pam password change = yes
        workgroup = WORKGROUP
        syslog = 0
        max log size = 1000
        map to guest = bad user
        log file = /var/log/samba/log.%m
        usershare allow guests = yes
        passwd program = /usr/bin/passwd %u
        passdb backend = tdbsam
        server string = %h server (Samba, Ubuntu)
        server role = standalone server
        unix password sync = yes
        passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
        obey pam restrictions = yes
        dns proxy = no
        panic action = /usr/share/samba/panic-action %d
        socket options = TCP_NODELAY SO_RCVBUF=524288 SO_SNDBUF=524288 IPTOS_LOWDELAY
        name resolve order = wins lmhosts hosts bcast

Собственно параметры шары:
[Work]
        comment = "Общий диск"
        path = /srv/samba/work
        read only = no
        guest ok = no
        valid users = @All_Group
        hide unreadable = yes
        hide unwriteable files = yes

        vfs objects =  recycle
        recycle:keeptree = Yes
        recycle:touch = Yes
        recycle:touch_mtime = Yes
        recycle:versions = Yes
        recycle:maxsize = 105057800
        recycle:exclude = *.iso, *.tmp, *.temp, ?~$*, ~$*, *.TMP, ~*
        recycle:repository = /srv/samba/work/$Recycle.Bin/%U
        hide files = /$*/desktop.ini/lost+found/Thumbs.db/~*/
        hide dot files = yes
        veto files = /*.avi/*.mkv/*.mp3/*.wav/*.flac/
        delete veto files = yes

valid users = @All_Group - Только пользователи из этой грыппы могут видеть шару
hide unreadable = yes - не отображает файлы и каталоги, который нельзя читать
hide unwriteable files = yes - тоже, но без разрешения на запись
vfs objects =  recycle - создаю "корзину" на шаре
hide files = /$*/desktop.ini/lost+found/Thumbs.db/~*/ - скываю файлы
hide dot files = yes - не показывать файлы с точкой в начале
veto files = /*.avi/*.mkv/*.mp3/*.wav/*.flac/ - запрещенный файлы
delete veto files = yes - не разрешать сохранять запрещенные файлы

В файле /etc/fstab к опциям монтирования добавил "acl". После этого создаём и добавляем пользователей в соответствующие группы (у меня 6 групп + 1 общая).
Далее с помощью setfacl устанавливаем права на каталоги

Общая группа на шару
setfacl -Rm g:All_Group:rwx,u::-,o::- /srv/samba/work
setfacl -Rm d:g:All_Group:rwx,d:u::-,d:o::- /srv/samba/work

Пример назначения на конкретнуюю папку
setfacl -Rm g:Doc_Group:rwx,u::-,o::- /srv/samba/work/Документы
setfacl -Rm d:g:Doc_Group:rwx,d:u::-,d:o::- /srv/samba/work/Документы

Просмотр прав командой "getfacl /srv/samba/work"
getfacl: Удаление начальных '/' из абсолютных путей
# file: srv/samba/work
# owner: root
# group: root
user::---
group::---
group:All_Group:rwx
mask::rwx
other::---
default:user::---
default:group::---
default:group:All_Group:rwx
default:mask::rwx
default:other::---

Права на папку из примера "getfacl /srv/samba/work/Документы"
getfacl: Удаление начальных '/' из абсолютных путей
# file: srv/samba/work/Документы
# owner: root
# group: root
user::---
group::---
group:Doc_Group:rwx
mask::rwx
other::---
default:user::---
default:group::---
default:group:Doc_Group:rwx
default:mask::rwx
default:other::---

Так выглядит дерево каталогов, "Общая информация" - к ней имеют доступ все
/srv/samba/work
├── $Recycle.Bin
├── Документы
├── Менеджера
├── Общая информация
├── Объекты
├── Офис
├── ПТО
└── СГ

P.S. Единственное, что никак не могу побороть так это очень низкая скорость чтения/записи 2 МБ/с, хотя там же установлен Nextcloud и на нем при загрузке/выгрузке файлов через интернет скорость 11 МБ/с
Use Free, Be Free

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: samba для организации
« Ответ #4 : 17 Января 2017, 15:35:38 »
"socket options" уберите уже. Вы замедляете свою сеть.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн aleks-nl5

  • Новичок
  • *
  • Сообщений: 44
    • Просмотр профиля
Re: samba для организации
« Ответ #5 : 17 Января 2017, 23:15:32 »
AnrDaemon, Спасибо, правда данную опцию добавил после проблем со скоростью. Разбираюсь дальше.
Use Free, Be Free

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: samba для организации
« Ответ #6 : 18 Января 2017, 00:33:44 »
Начиная с 4 версии, Samba использует ядерные функции оптимизации сетевых параметров, если я правильно помню объяснения.

Ну и вообще, когда вы уже домен нормальный поднимете?
« Последнее редактирование: 18 Января 2017, 00:43:31 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.036 секунд. Запросов: 25.