Главная » Форум » Gentoo Linux » Системное администрирование

И снова SAMBA (Расшарка всем на чтение, кроме админов. КАК?) [SOLVED]

klm 3 июня, 2008 - 05:10

# Samba + разные права пользователей на расшарки
# Клиенты только масдай в одноранговой сети, нет доменов, нигде!
#
# Имею рабочий /etc/samba/smb.conf, от samba 3.0.30
#
# недавно понадобилось создать расшарку, доступную гостям без авторизации для чтения только, но доступную для записи избранным
#

[global]
dos charset = 866
unix charset = KOI8-R
workgroup = GENTOO
server string = Office Samba Server %v
# Хотелось бы именно SHARE а не USER
security = SHARE
null passwords = yes
guest account = guest
pam password change = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *New*UNIX*password* %n\n *Re*ype*new*UNIX*password* %n\n *passwd:*all*authentication*tokens*updated*successfully*
username map = /etc/samba/smbusers
# password level = 4
# username level = 4

password level = 0
username level = 2

unix password sync = Yes
log file = /var/log/samba/log.%m
max log size = 50
name resolve order = wins host lmhosts bcast
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
load printers = No
hosts allow = 10.1.2., 10.1.4., 172.16.0., 10.100.100.
delete veto files = Yes
veto files = /.scr/
veto oplock files = /*.xls/*.XLS/*.mdb/*.MDB/*.ldb/*.LDB/

[homes]
comment = Home Directories
read only = No
browseable = No

# Расшарки подобного вида работают на ура...
[ak545dir]
comment = ak545's Share
path = /share/ak545
valid users = ak545
read only = No
create mask = 0777
directory mask = 0777
browseable = No

# Вот эта расшарка никак не хочет пускать на запись избранного пользователя. Только на чтение. Добавление
# избранного пользователя в группу, скажем, smbadmin и задание строки вида
# write list = @smbadmin
# или
# write list = @wheel
# танцы с бубном в /etc/samba/smbusers
# ничего не дают

[Soft]
comment = Common Soft
path = /share/Soft
# valid users = ak545 guest
# admin users = ak545
public = yes
writable = no
write list = ak545
# create mask = 0777
# directory mask = 0777

#
# Где траблы?
#
# Проблема в chmod на /share/Soft ?
# chmod -R 777 /share/Soft # ничего не дает...
#
# Где я туплю, интересно?
#

ВОПРОС ИСЧЕРПАН!
см. мой последний пост с темой ОПА!

‹ toonel в /etc/init.d [Solved] clamav milter ›
»

а юзера ak545

Автор evadim, дата создания 3 июня, 2008 - 08:08.

а юзера ak545 существует в системе и в самбу доюбавлен?

»

Так точно!

Автор klm, дата создания 3 июня, 2008 - 13:12.

useradd -G wheel -m -s /bin/bash ak545
passwd ak545
smbpasswd -a ak545
smbpasswd -e ak545

В файлике /var/lib/samba/private/smbpasswd
запись исть...

»

?

Автор Anarchist, дата создания 3 июня, 2008 - 16:11.
klm написал(а):
# Хотелось бы именно SHARE а не USER
security = SHARE

Было бы интересно услышать обоснование этого требования.

Есть ещё момент с правами на файловой системе (не далее как сегодня наступал на эти грабли).

Насколько я помню, проблема заключается в конфликте writable = no и write list = ak545.
Я бы рекомендовал поставить writable = yes. В таком случае всё равно не входящие в список write list писать не смогут.

ЗЫ: Ты утилиту проверки синтаксиса smb.conf используешь?

--
Live free or die

»

Гымм...

Автор klm, дата создания 3 июня, 2008 - 17:52.
Anarchist написал(а):
klm написал(а):
# Хотелось бы именно SHARE а не USER
security = SHARE

Было бы интересно услышать обоснование этого требования.

Есть ещё момент с правами на файловой системе (не далее как сегодня наступал на эти грабли).

Насколько я помню, проблема заключается в конфликте writable = no и write list = ak545.
Я бы рекомендовал поставить writable = yes. В таком случае всё равно не входящие в список write list писать не смогут.

ЗЫ: Ты утилиту проверки синтаксиса smb.conf используешь?

Режим аутентификации (Authentication Mode) — Этой настройке соответствует параметр security. Выберите один из следующих типов проверки подлинности.

ADS, Domain, Server - доменов у нас нет и не будет

Ресурс (Share) — Пользователи Samba не должны вводить своё имя и пароль при подключении к серверу Samba. Сервер Samba не спрашивает имя и пароль, пока они не попытаются подключиться к определённому общему каталогу этого сервера.

Выбор Share от части потому, что пользователь может сперва пролистать список расшарок. Но для каждой расшарки могут быть свои собственные параметры входа... Если я побывал сперва в расшарке Share1 под логином login1 а потом перейду в расшарку Share2 и самба затребует от меня ввода другого логина login2... Кому то будет выдан логин и пароль на соответствующую расшарку, кому-то нет...

Пользователь (User) — (По умолчанию) Пользователи Samba должны представить правильное имя пользователя и пароль для сервера Samba. Выберите этот вариант, если вы хотите чтобы работал параметр Имя пользователя Windows (Windows Username).

Этот вариант не устраивает потому что надо еще ДО просмотра списка расшарок авторизоваться на самбе...
Динамической смены параметров авторизации для разных расшарок здесь уже не произойдет (клиент - масдай!)

writable = yes
write list = ak545

Результат - права на запись у всех...

Цитата:
fs-10tb ~ # testparm -s
Load smb config files from /etc/samba/smb.conf
Processing section "[homes]"
Processing section "[ak545dir]"
Processing section "[Soft]"
Loaded services file OK.
Server role: ROLE_STANDALONE
[global]
dos charset = 866
unix charset = KOI8-R
workgroup = GENTOO
server string = Office Samba Server %v
security = SHARE
null passwords = Yes
guest account = guest
pam password change = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *New*UNIX*password* %n\n *Re*ype*new*UNIX*password* %n\n *passwd:*all*authentication*tokens*updated*successfully*
username map = /etc/samba/smbusers
username level = 2
unix password sync = Yes
log file = /var/log/samba/log.%m
max log size = 50
name resolve order = wins host lmhosts bcast
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
load printers = No
hosts allow = 10.1.2., 10.1.4., 172.16.0., 10.100.100.
delete veto files = Yes
veto files = /.scr/
veto oplock files = /*.xls/*.XLS/*.mdb/*.MDB/*.ldb/*.LDB/

[homes]
comment = Home Directories
read only = No
browseable = No

[ak545dir]
comment = ak545's Share
path = /share/ak545
valid users = ak545
read only = No
create mask = 0777
directory mask = 0777
browseable = No

[Soft]
comment = Common Soft
path = /share/Soft
write list = ak545
create mask = 0777
directory mask = 0777
guest ok = Yes
fs-10tb ~ #

»

Думается мне, что

Автор Eveler, дата создания 4 июня, 2008 - 11:47.
klm написал(а):
create mask = 0777
directory mask = 0777

и дают права на запись всем. Ещё надо бы проверить права на файлах.

»

Опять - Гымм...

Автор klm, дата создания 4 июня, 2008 - 23:16.
Eveler написал(а):
klm написал(а):
create mask = 0777
directory mask = 0777

и дают права на запись всем. Ещё надо бы проверить права на файлах.

fs-10tb ~ # chmod -R 777 /share/Soft        
fs-10tb ~ # chown -R ak545:ak545 /share/Soft
fs-10tb ~ # chmod -R 755 /share/Soft
fs-10tb ~ # testparm -s                               
Load smb config files from /etc/samba/smb.conf
Processing section "[homes]"
Processing section "[ak545dir]"
Processing section "[Soft]"
Loaded services file OK.
Server role: ROLE_STANDALONE
[global]
        dos charset = 866
        unix charset = KOI8-R
        workgroup = GENTOO
        server string = Office Samba Server %v
        security = SHARE
        null passwords = Yes
        pam password change = Yes
        passwd program = /usr/bin/passwd %u
        passwd chat = *New*UNIX*password* %n\n *Re*ype*new*UNIX*password* %n\n *passwd:*all*authentication*tokens*updated*successfully*
        username map = /etc/samba/smbusers
        username level = 2
        unix password sync = Yes
        log file = /var/log/samba/log.%m
        max log size = 50
        name resolve order = wins host lmhosts bcast
        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
        load printers = No
        invalid users = root
        hosts allow = 10.1.2., 10.1.4., 172.16.0., 10.100.100.
        delete veto files = Yes
        veto files = /.scr/
        veto oplock files = /*.xls/*.XLS/*.mdb/*.MDB/*.ldb/*.LDB/

[homes]
        comment = Home Directories
        read only = No
        browseable = No

[ak545dir]
        comment = ak545's Share
        path = /share/ak545
        valid users = ak545
        read only = No
        create mask = 0777
        directory mask = 0777
        browseable = No
[Soft]
        comment = Common Soft
        path = /share/Soft
        write list = @smbadmin, ak545
        guest ok = Yes
fs-10tb ~ # 
fs-10tb ~ # smbstatus -d                              

Samba version 3.0.30
PID     Username      Group         Machine                        
-------------------------------------------------------------------

Service      pid     machine       Connected at
-------------------------------------------------------
Soft         7661   10.1.2.253    Wed Jun  4 22:11:45 2008

Locked files:
Pid          Uid        DenyMode   Access      R/W        Oplock           SharePath   Name   Time
--------------------------------------------------------------------------------------------------
7661         65534      DENY_NONE  0x81        RDONLY     NONE             /share/Soft   .   Wed Jun  4 22:11:49 2008

fs-10tb ~ #

В масдайчике создаю сетевой диск на \\fs-10tb\Soft под ak545 + пароль как в pam и в smbpasswd....
Неа, не дает на запись доступ для ak545
тока чтение

»

Опа !!!

Автор klm, дата создания 5 июня, 2008 - 00:01.

Оказывается при
security = share
опция write list
НЕ РАБОТАЕТ!!!

write list (S)
This is a list of users that are given read\-write access to a service. If the connecting user is in this list then they will be given write access, no matter what the
read only option is set to. The list can include group names using the @group syntax.

Note that if a user is in both the read list and the write list then they will be given write access.


By design, this parameter will not work with the
security = share
in Samba 3.0.

А я бодаюсь...

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".