Samba. Ограничить доступ группой к директории в определенной шаре. [РЕШЕНО]

[ALiEN175]

 убирайте параметр force user для папки public

(force user = director означает, что любые сетевые пользователи, зашедшие в папку, имеют в ней те же права, что и директор)

[Brunen]

убирайте параметр force user для папки public

(force user = director означает, что любые сетевые пользователи, зашедшие в папку, имеют в ней те же права, что и директор)

Опцию эту убрал, доступ к директории "Рабочие документы" изчез. Только изчез для всех самбовских юзеров(даже тех, которые входят в группу neos).
Проверил файл /etc/group:

Код: [Выделить]

orgprof:x:1001:director,buhgalter,user1,user2,user3
neos:x:1014:director,buhgalter
Но с виндовых машин доступа к "Рабочие документы" для юзеров director и buhgalter - нет.

[ALiEN175]

попробуйте добавить в секцию global

Код: [Выделить]

encrypt passwords = no
если не поможет, стоит попробовать у самба юзеров убрать пароли, добавив перед этим в global

Код: [Выделить]

null passwords = yes

Но с виндовых машин доступа к "Рабочие документы" для юзеров director и buhgalter - нет.

Подробнее можно? То есть папка с виндовых машин не открывается, или не видна, или появляется запрос авторизации?

PS самбу рестартануть не забыли после изменений?

[Brunen]

попробуйте добавить в секцию global

Код: [Выделить]

encrypt passwords = no
если не поможет, стоит попробовать у самба юзеров убрать пароли, добавив перед этим в global

Код: [Выделить]

null passwords = yes

Но с виндовых машин доступа к "Рабочие документы" для юзеров director и buhgalter - нет.

Подробнее можно? То есть папка с виндовых машин не открывается, или не видна, или появляется запрос авторизации?

PS самбу рестартануть не забыли после изменений?

Сегодня только вечером попробую - сейчас в конторе работа кипит.

Папка "Рабочие документы" с виндовых машин видна, но при попытке открыть - "Отказано в доступе", пишет. И так у всех юзеров.
Другие же папки на этом сетевом диске открываются, т.е. ограничения(доступ только группе neos) срабатывают только на папку "Рабочие документы".
Без паролей самба-юзеров сделать нельзя никак.

Так, ещё раз всё в одном месте:
Раздел с расшаренными в самбе ресурсом - на ФС xfs.

/etc/group:

Код: [Выделить]

orgprof:x:1001:director,buhgalter,user1,user2,user3
neos:x:1014:director,buhgalter
#grep director /etc/group

Код: [Выделить]

orgprof:x:1001:director,buhgalter,user1,user2,user3
director:x:1002:
neos:x:1014:director,buhgalter
ls -la /org/shares/public/Рабочие\ документы/

Код: [Выделить]

total 55516
drwxrwxrwx+ 20 director  orgprof     4096 2011-07-26 13:13 .
drwxrwx--x  31 root orgprof     8192 2011-07-26 10:38 ..
-rwxrwx---   1 director  neos       43008 2009-10-19 11:44 0001 1234.doc
-rwxrwx---+  1 director  director        67584 2011-07-26 12:23 06_В.doc
-rwxrwx---   1 director  neos        6696 2009-10-14 17:56 20094.tdt
-rwxrwx---   1 director  neos        6981 2009-10-15 17:45 20095.tdt
-rwxrwx---   1 director  neos        7427 2010-02-25 17:18 2010.tdt
# testparm

Код: [Выделить]

Load smb config files from /etc/samba/smb.conf
rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)
Processing section "[profile]"
Processing section "[pub]"
Loaded services file OK.
Server role: ROLE_STANDALONE
Press enter to see a dump of your service definitions

[global]
log file = /var/log/samba/log.%m
workgroup = ggroup
netbios name = srv1.srv
server string = exchange
security = user
max log size = 50
kernel change notify = yes
socket options = TCP_NODELAY SO_RCVBUF=16384 SO_SNDBUF=16384
load printers = no
show add printer wizard = no
printing = BSD
printcap name = /dev/null
disable spoolss = yes
smb ports = 139

[profile]
comment = Myfiles
path = /org/shares/profiles/%U
read only = No

[pub]
browseable = Yes
comment = public
path = /org/shares/public/
create mask = 0777
directory mask = 0777
force user = director
force group = orgprof
valid users = director,buhgalter,user1,user2,user3
read only = No
Рестартил саму машину с самбой, так что она по-любому тоже того  

При отключенной опции "force user = director" в /etc/samba/smb.conf папка "Рабочие документы" при попытке доступа к себе выдавала сообщение "Отказано в доступе".

[ALiEN175]

странно. параметр force user никак не влияет на доступ к папке из сети.
влияет, если остальным прописан запрет

может папке public дать права "остальным" на чтение и выполнение?
ну заодно и с "рабочими документами" тоже самое сделать

Код: [Выделить]

сhmod 775

[Brunen]

странно. параметр force user никак не влияет на доступ к папке из сети.
влияет, если остальным прописан запрет

может папке public дать права "остальным" на чтение и выполнение?
ну заодно и с "рабочими документами" тоже самое сделать

Код: [Выделить]

сhmod 775

Так, всё. Нашёл свою ошибку:

ls -la /org/shares/public/Рабочие\ документы/
total 55516
drwxrwxrwx+ 20 director  orgprof    4096 2011-07-26 13:13 .
drwxrwx--x  31 root orgprof     8192 2011-07-26 10:38 ..
-rwxrwx---   1 director  neos       43008 2009-10-19 11:44 0001 1234.doc
-rwxrwx---+  1 director  director        67584 2011-07-26 12:23 06_В.doc
-rwxrwx---   1 director  neos        6696 2009-10-14 17:56 20094.tdt
-rwxrwx---   1 director  neos        6981 2009-10-15 17:45 20095.tdt
-rwxrwx---   1 director  neos        7427 2010-02-25 17:18 2010.tdt

/etc/samba/smb.conf:
Убрал директивы:

Код: [Выделить]

force user
force group
После пары команд:

Код: [Выделить]

chmod -R o-rwx /org/shares/public/Рабочие\ документы/
chown -R director:neos /org/shares/public/Рабочие\ документы/
Доступ у director,buhgalter появился на папку "Рабочие документы", а у остальных исчез. Как и требовалось.

Так, что проблема была в моей невнимательности(не сменил группу у требуемой директории).  

[onyx73]

Доброе время суток!
Я, конечно дико извиняюсь, что пишу в эту тему, которая давно не обсуждалась. Но уж очень актуальная для меня. Пытаюсь сделать файлообменник по подобной схеме: одна расшаренная по Samba папка. В этой папке располагаются папки для цехов и отделов, одна общая для всех и папка для всех только для чтения. Права работают,т.е., если пользователь заходит на Samba спрашивается пароль. В своей цеховой папке может делать что угодно, а в другие цеховые не может зайти. Осталось сделать так, чтобы при входе на Samba у пользователя не вываливался весь список коневой папки, а только своя папка и две общих, соответственно папки других цехов и отделов ему не видны. Возможно ли такое сделать? Если возможно, то как это можно реализовать.