Файловый сервер+права доступа на папки

[ruslan_stef]

Предыстория: приобрели сетевое хранилище, якобы с поддержкой AD. В итоге выяснилось, что эта поддержка ограничивается возможностью выставлять права доступа пользователям домена только на расшаренные ресурсы, но никак не на подпапки! На железке стоит Linux и самба. Зашел на хранилище через SSH и попытался расставить права вручную с помощью chown и chmod, но тут-то и выяснилась вся ограниченность этого метода...
Одним словом, нужно реализовать следующую задачу: создать расшаренный ресурс documents, содержащий каталоги типа Петров, Иванов, Сидоров и т.п. Это - без вопросов. У каждого пользователя, соответственно, есть права на свой каталог, но при этом может возникнуть и такая ситуация: на каталог Петров дать доступ Петрову, Иванову и Сидорову, причем Сидорову только на чтение. Или, например, есть каталог Аттестация. Полные права нужно дать группе аттестация, но еще разрешить в папку заходить только для чтения Барсукову.

[ivanov_d_o]

можно поставить read only = Yes, write list = Петров, Сидоров. Тогда Иванов сможет только читать.

[RubikS]

Sabma позволяет давать различный доступ, группам пользователей в том числе.

При проектировании сетевых ресурсов надо учесть ограничение на то, что правила доступа едины на все папки внутри данного ресурса.

Т.е вам надо создавать отдельные ресурсы Петров, Иванов, Сидоров, Аттестация и т.д. с соответствующими по вашему заданию правами доступа.

[ruslan_stef]

Т.е вам надо создавать отдельные ресурсы Петров, Иванов, Сидоров, Аттестация и т.д. с соответствующими по вашему заданию правами доступа.

Пользователей очень много - больше ста человек. Создавать такое количество расшаренных ресурсов ну совсем нереально. Нужно сделать так, чтобы у пользователей в винде подключался сетевой диск, у всех один и тот же, а на нем список каталогов-фамилий. В свою папку он имеет доступ полный, в другие нет, за исключением тех, в которые доступ ему даст админ (полный или на чтение).
Пользователь решил продолжить мысль 26 Декабря 2009, 06:40:04:

можно поставить read only = Yes, write list = Петров, Сидоров. Тогда Иванов сможет только читать.

Согласен, но ведь это только на расшаренные ресурсы! А ресурс должен быть один - ДОКУМЕНТЫ. А вот в нем куча папок, на каждую из которых нужно выставить доступ. Или я что-то не понимаю?

[VinnyPooh]

Имхо, проще по такой логике сделать.

[Каталог юзера № 1]

путь к папке /documents/user1
Право на доступ и запись = user1

Или доступ юзеру и конкретной группе юзеров

[Каталог юзера № 2]

путь к папке /documents/user2
Право на досту и запись = user2
Право на доступ и запись = группа1

Да это всё руками придётся прописать, но ничего сложного в этом нет. Зато полная прозрачность c правами, добавить - убавить 1 запись.

Думаю есть и менее утомительный путь, папки можно и автоматом создавать, но вот что тут с правами будет и как их добавить/убавить относительно каждой личной папки пользователя - можно ли такое ? Сомневаюсь.
Для общего развития ещё здесь можно глянуть (и комменты тоже):
http://www.opennet.ru/openforum/vsluhforumID3/50551.html

[RubikS]

А я бы не стал бы особо мудрить.
Samba почти по умолчанию создает "домашние" папки пользователей с доступом только для них - так и оставить (хотите добавьте чтение для групп), причем это даже описывать не надо - одна запись на всех:

Код: [Выделить]

# Un-comment the following (and tweak the other settings below to suit)
# to enable the default home directory shares.  This will share each
# user's home directory as \\server\username
[homes]
   comment = Home Directories
   browseable = no

# By default, the home directories are exported read-only. Change the
# next parameter to 'no' if you want to be able to write to them.
   read only = no

# File creation mask is set to 0700 for security reasons. If you want to
# create files with group=rw permissions, set next parameter to 0775.
   create mask = 0700

# Directory creation mask is set to 0700 for security reasons. If you want to
# create dirs. with group=rw permissions, set next parameter to 0775.
   directory mask = 0700

# By default, \\server\username shares can be connected to by anyone
# with access to the samba server.  Un-comment the following parameter
# to make sure that only "username" can connect to \\server\username
# This might need tweaking when using external authentication schemes
   valid users = %S

И это же почти как в виндовом аккаутне - не фига Иванову делать в папке Сидорова.
Для "совместного" использования создать другие ресурсы - папки.
И не забывайте правило - внутри созданного samba-ресурса все права одинаковы, т.е. не получиться создать одну папку Документы и в ней менять права для пользователей.
Да и что мешает создать общие ресурсы-папки с доступом по отделам/проектам и т.д., что вы зациклились на этих "Документах"

[Dfg]

Вот так линупс в ынтерпрайзе и пролетает
Нужно скрестить ужа и ежа, то есть Samba+ACL, и можно ставить права перюзир.

http://www.lissyara.su/articles/freebsd/programms/samba+nt_acl/

[VinnyPooh]

Да и что мешает создать общие ресурсы-папки с доступом по отделам/проектам и т.д., что вы зациклились на этих "Документах"

Я бы тоже так сделал, самое разумное решение. Личные папки на то и личные, чтобы никто по ним не шарахался, а все рабочие проекты, файлы и тому подобное хранились бы по проектам/отделам.

ОБлегчается и бэкап - можно папки рабочие бэкапить, допустим, 1 раз в сутки, а личные (как правило это разный хлам) раз в неделю.