samba: altera o grupo unix do windows client

2

Eu tento configurar um pequeno servidor samba no Ubuntu 12.04 para compartilhar arquivos. Parece funcionar bem, mas há um problema de permissão.

Todo grupo primário de usuários Unix é group_common. Alguns usuários também estão no grupo group_confidential.

Para todos os usuários Unix, existe um usuário samba equivalente. Existe uma configuração de mapeamento de grupo para ambos os grupos usando o groupmap de rede.

Todos os arquivos e pastas criados no compartilhamento devem pertencer ao usuário e ao grupo principal group_common.

Tudo isso funciona bem.

Agora existem alguns arquivos confidenciais. Esses arquivos devem ser acessíveis apenas para os usuários no grupo group_confidential.

Portanto, tento remover os direitos do grupo group_common e adicionar direitos para o grupo group_confidential em um cliente Windows. A remoção dos direitos para group_common não está funcionando. Quando eu mudo o grupo na máquina Ubuntu ele funciona bem.

Portanto, a questão em resumo: é possível alterar o grupo de arquivos unix em um compartilhamento de samba de um cliente Windows ou existe outra maneira de restringir os direitos do grupo de proprietários unix para que ele não seja mais acessível a partir do cliente do windows. Ou existe outra maneira de ter arquivos confidenciais?

Obrigado antecipadamente.

    
por hami 24.01.2014 / 12:49

2 respostas

1

Embora não seja bastante na mesma situação, e não está mudando do ponto de vista do Windows, foi isso que fizemos. Novamente, isso não ajudará em realmente alterar as permissões, mas esperamos que ajude de qualquer maneira.

Tivemos uma pasta confidencial, onde só queríamos que alguns usuários escrevessem nela, mas outros liam nela. Criamos dois grupos, groupread e groupwrite . Nós chown da pasta para o grupo groupread , e atribuímos chmod 2770 , até o fim. Em seguida, criamos a próxima pasta sob ela, que tinha os dados que tinham que ser restritos apenas às gravações, e chown groupwrite da pasta, permissões chmod 2775 , para que as pessoas com acesso de leitura também pudessem lê-la.

No arquivo /etc/samba/smb.conf , adicionamos a declaração de compartilhamento inherit permissions = yes e não fizemos force group ou qualquer outra coisa, nesse compartilhamento . Portanto, os usuários que precisam acessá-lo para ler estão no grupo de leitura; todos que precisam escrever para ele estão em ambos os grupos.

    
por 24.01.2014 / 20:32
0

Isso é realmente complicado. A maneira como resolvi isso recentemente é através do uso dessa propriedade de compartilhamento

force group = <some_group>

e, em seguida, fazendo compartilhamentos completamente diferentes para cada pasta que precisava dessas permissões, e permitindo apenas que esses grupos do AD se conectassem, eles deveriam ter acesso a esse grupo local. Todos os arquivos nessa pasta recebem o grupo certo na criação.

Quando eu consigo me safar, defino todos os meus grupos no AD, o que significa que tanto o cliente Windows quanto o servidor Linux sabem do que estou falando.

Se você ainda não estiver fazendo isso, sugiro também usar Centrify e os pacotes samba do Centrify para a integração do AD.

    
por 24.01.2014 / 17:12