Instalei o CentOS com sucesso e juntei-o a um domínio do Windows 2003 Active Directory com o Winbind e o Samba. Estamos transferindo um dos nossos servidores de arquivos para o CentOS. Uma das coisas que estou tendo dificuldade em descobrir é atribuir permissões a compartilhamentos de arquivos.
Caso você esteja curioso para saber como eu configuro isso, eu segui este tutorial: link
Para dar um exemplo, digamos que temos um compartilhamento chamado "Compartilhado", ao qual queremos que o grupo "Usuários do Domínio" possa acessar e escrever. Agora digamos que temos uma pasta dentro desse compartilhamento chamada "Secret". Queremos apenas que o grupo "Agentes secretos" possa ler e escrever nessa pasta. Deve ficar claro que restringir o acesso a uma subpasta de um compartilhamento do Samba é impossível ou difícil de configurar, que é o que me levou a olhar para o uso de POSIX ACLs.
Minha primeira pergunta é: esta é uma boa maneira de configurar isso? Seu primeiro pensamento pode ser dividir a pasta "Secret" em seu próprio compartilhamento, mas como na vida real, temos muitas subpastas dentro de compartilhamentos com conjuntos diferentes de permissões, dando a cada pasta diferente sua própria parcela se tornaria um pesadelo .
Minha segunda pergunta é: se o uso de POSIX ACL's é uma boa maneira, as ACLs seriam deixadas intactas se os arquivos e pastas fossem copiados e restaurados. Eles também seriam deixados intactos se o servidor explodisse e nós restaurássemos esses arquivos e pastas para outro servidor?
Eu não sei muito sobre o POSIX ACL. Eu só aprendi sobre eles hoje. Então, se houver algum problema em potencial ou "capturas" que você acha que eu deveria saber, inclua-os também.
Obrigado pelo seu tempo
Eu fiz o mesmo no servidor de arquivos da minha empresa. Parece funcionar. A única desvantagem é que os clientes samba do Mac e do Linux parecem copiar as permissões do arquivo original. Então eu tive que colocar um script cron para restaurar as permissões corretas.
A propósito, esse script resolveria seu problema de backup e restauração. A principal desvantagem é que ele substitui as permissões definidas por seus usuários.
Isso é exatamente o que eu fiz antes e funciona, embora às vezes possa ficar um pouco confuso. Ao configurar as ACLs, recomendo também configurar os diretórios para que os arquivos e subdiretórios neles sejam definidos como pertencentes ao grupo secreto, se não for um usuário 'secreto' fictício também.
Se as ACLs tiverem backup em backup e restauração, isso dependerá de seu software de backup, mas em geral elas são e, se não forem, pode ser apenas um sinalizador para passar. Será --xattrs ou --acls se estiver usando o backup baseado em GNU Tar, como o Amanda, possivelmente por padrão nas versões mais novas do Tar. Supondo que você está restaurando em outro servidor GNU / Linux, os atributos podem ser restaurados no lugar, embora você queira ter certeza de ter os mesmos usuários / grupos no novo servidor (idealmente autenticação centralizada).