Изпечатай

[anakinn]

Здравейте

Казуса е следния.  FreeBSD 9.1-RELEASE + samba 3.6.9 с компилирана поддръжка на acl
в шеър docs имам папки rabotna и proba. Идеята е get, root & dimitar да има пълен достъп в папка rabotna
а в папка proba dimitar да няма (да не може да я достъпва).

drwxr-xr-x  14 storage  storage  1024 Mar 21 10:15 rabotna/
drwxr-xr-x   2 storage  storage   512 Mar 21 10:23 proba/

Пробвах с setfacl -m u:dimitar:r proba

getfacl proba/
# file: proba/
# owner: storage
# group: storage
user::rwx
user:dimitar:r--
group::r-x
mask::r-x
other::r-x

Юзър storage ми е юзър, с който ровя през фтп из фолдърите.
Юзър dimitar е в група sambi.
Когато влезе в директория proba юзър dimitar има пълни права.
Къде бъркам ?

Благодаря



[global]
        workgroup = zzz
        server string = srv
        smb passwd file = /usr/local/etc/usrpass
        log level = 2 vfs:3
        syslog = 0
        log file = /var/log/samba/%U.%m.log
        name resolve order = wins bcast host
        lpq cache time = 10
        socket options = TCP_NODELAY, SO_RCVBUF=8192 SO_SNDBUF=8192
        load printers = No
        printcap name = /etc/printcap
        show add printer wizard = No
        os level = 21
        local master = No
        domain master = No
        dns proxy = No
        wins support = No
        idmap config * : range =
        idmap config * : backend = tdb
        admin users = get, root
        read only = No
        acl map full control = No

[docs]
        comment = docs
        path = /storage/docs
        admin users = root, get, dimitar
        read list = root, get, dimitar
        write list = root, get, dimitar
        vfs objects = recycle
        recycle:touch = Yes
        recycle:versions = Yes
        recycle:maxsize = 314123123
        recycle:exclude = *.tmp|*.temp|*.0|~$*|*.~??
        recycle:excludedir = /tmp
        recycle:noversions = *.tmp
        recycle:repository = /storage/trash
        recycle:keeptree = Yes
#       inherit permissions = yes
#        inherit acls = yes
#        map acl inherit = yes
#        acl group control = yes
#       vfs objects = acl_xattr

[morbid_viper]

admin users = root, get, dimitar

с това всъщност придобиваш тези права. пробвай да махнеш dimitar от admin users и да остане в останалите два списъка

в [global] не пише каква е полицата на сигурността, виж коя е по подразбиране или си сложи изрично security = user

[anakinn]

Да security = user.
Малко по друг начин реших нещата.
Направих права на директориите 777 барабар с create mask, за да може юзъра да
има достъп, групата storage заради ftp-то и other за да може, който и да създаде файла
да може да се ползва, като махнах admin users. Т.е. който е в админ юзърс има достъп до всичко.
Та ако искам да орежа някой файл/папка от някой потребител пиша следното
setfacl -m u:dimitar:r-- proba или файл вътре и сработва на 90% -
не може трие, отваря, копира, преименува файла, но пък може да го трие !

[morbid_viper]

да, също е вариант