Επίπεδα ασφαλείας και δικαιώματα σε Samba

[gtsit]

Έχω στήσει δίκτυο με samba και wnblows. Τα πάντα παίζουν άψογα. Χρησιμοποιώ το samba configuration tool (system-config-samba) που είναι τέλειο εργαλείο gui για αυτή την δουλειά.
Αντιμετωπίζω όμως την εξής κατάσταση:
Θα σας δώσω ένα παράδειγμα.
Έχω κάνει στο ubuntu shared πχ τον φάκελο Α. Ο οποίος όμως έχει και υποφακέλους πχ τον Β.
Πάω λοιπόν στον Α και δίνω δικαιώματα. Του λέω ότι επιτρέπονται πχ τα πάντα αλλά μόνο για τον windows user πχ winuser.
Oi άλλοι δεν έχουν δικαιώματα πρόσβασης σε αυτόν τον φάκελο. Κάνω share τώρα και τον Β και του λέω ότι απαγορεύεται να μπάινει σε αυτόν
ο winuser.
Όταν λοιπόν πάω στο winblows μηχάνημα και μπαίνω στα shares ως winuser βλέπω πως στο shared A φάκελο μπαίνω άνετα αλλά στον
shared Β δεν μπαίνω. Καλά μέχρι εδώ.
Όταν όμως μπαίνω πρώτα στον Α και από εκεί συνεχίσω και μπω στον Β (μέσω του Α αφού είναι υποφάκελος )μπαίνω κανονικά πράγμα που
δεν θα έπρεπε.
ΜΕ ΑΛΛΑ ΛΟΓΙΑ. ΠΩΣ ΜΠΟΡΩ ΝΑ ΔΩΣΩ ΞΕΧΩΡΙΣΤΑ ΔΙΚΑΙΩΜΑΤΑ ΣΕ ΥΠΟΦΑΚΕΛΟΥΣ ΦΑΚΕΛΩΝ ΜΕ ΔΙΑΦΟΡΕΤΙΚΑ ΔΙΚΑΙΩΜΑΤΑ.

Ευχαριστώ.

[alkisg]

Όταν όμως μπαίνω πρώτα στον Α και από εκεί συνεχίσω και μπω στον Β (μέσω του Α αφού είναι υποφάκελος )μπαίνω κανονικά πράγμα που
δεν θα έπρεπε.

Το SMB πρωτόκολλο δεν είναι file system, δεν μπορεί να καθορίσει τι γίνεται με τα δικαιώματα στο εσωτερικό των κοινόχρηστων φακέλων. Επομένως το παραπάνω που έγραψες είναι το ίδιο είτε σε Windows είτε σε Linux είτε οπουδήποτε.

Γι' αυτή τη δουλειά χρειάζονται τα δικαιώματα του local file system (είτε ext3 είτε ntfs). Δηλαδή πρέπει να εξασφαλίσεις ότι τοπικά ο χρήστης winuser δεν έχει δικαιώματα να προσπελάσει το φάκελο Β (groups, chmod κτλ).

Έτσι, ενώ ο SMB έλεγχος θα αναφέρει ότι επιτρέπεται στο χρήστη winuser να συνδεθεί στο \\pc\A\B,
το ext3 θα λέει ότι ο χρήστης winuser δεν έχει δικαιώματα να διαβάσει το /.../myshares/A/B,
και επομένως τα Windows θα βλέπουν απλά ένα παράθυρο "Access denied" όταν προσπαθούν να μπουν στο \\pc\A\B.

[gtsit]

Όταν όμως μπαίνω πρώτα στον Α και από εκεί συνεχίσω και μπω στον Β (μέσω του Α αφού είναι υποφάκελος )μπαίνω κανονικά πράγμα που
δεν θα έπρεπε.

Το SMB πρωτόκολλο δεν είναι file system, δεν μπορεί να καθορίσει τι γίνεται με τα δικαιώματα στο εσωτερικό των κοινόχρηστων φακέλων. Επομένως το παραπάνω που έγραψες είναι το ίδιο είτε σε Windows είτε σε Linux είτε οπουδήποτε.

Γι' αυτή τη δουλειά χρειάζονται τα δικαιώματα του local file system (είτε ext3 είτε ntfs). Δηλαδή πρέπει να εξασφαλίσεις ότι τοπικά ο χρήστης winuser δεν έχει δικαιώματα να προσπελάσει το φάκελο Β (groups, chmod κτλ).

Έτσι, ενώ ο SMB έλεγχος θα αναφέρει ότι επιτρέπεται στο χρήστη winuser να συνδεθεί στο \\pc\A\B,
το ext3 θα λέει ότι ο χρήστης winuser δεν έχει δικαιώματα να διαβάσει το /.../myshares/A/B,
και επομένως τα Windows θα βλέπουν απλά ένα παράθυρο "Access denied" όταν προσπαθούν να μπουν στο \\pc\A\B.

Εύγε!!! Ειλικρινά με βοήθησες πάρα πολύ. Έλα όμως που υπάρχει ακόμη κάτι......
Όταν πηγαίνω να φτιαξω κάποιο group στο users and groups για να ομαδοποιήσω χρήστες και μετά να τους δώσω δικαιώματα σε φακέλους με βάση το group συμβαίνει το εξής:
Στο users and groups δεν κρατάει το συγκεκριμένο group μετά από restart και κρατάει μόνο groups που έχουν το ίδιο όνομα με αυτό των user που έχω προσθέσει.
Άντε λοιπόν και πες πως χρησιμοποιώ μόνο αυτά τα groups, έλα μου όμως που όταν πάω σε κάποιον shared φάκελο να δώσω δικαιώματα δεν μου εμφανίζει κανένα από αυτά τα group παρά μόνο
τα αρχικά group που βάζει default το ubuntu?? Με άλλα λόγια πως φτιάχνω κάποιο group που μετά να μπορώ να το διαχειριστώ μέσα στα permissions των φακέλων?? Μήπως πρόκειται για κάποιο bug??

[alkisg]

Μου είχε τύχει κάτι τέτοιο στο Ubuntu 7.10, δηλαδή ενώ το users-admin (η διαχείριση χρηστών) φαινόταν να προσθέτει νέους χρήστες και ομάδες, τελικά δεν έγραφε τίποτα, και αν το έκλεινα και το ξαναάνοιγμα όσα είχα προσθέσει χανόταν.
Στο 8.04 και στο 8.10 δεν μου έχει τύχει.

Κάν' τα από κονσόλα να είσαι πιο σίγουρος:
getent group
βλέπεις ποια group υπάρχουν

sudo addgroup όνομαομάδας
προσθέτεις ένα νέο group

sudo adduser όνομαχρήστη όνομαομάδας
κάνεις έναν χρήστη μέλος ενός group