電腦領域 HKEPC Hardware - Powered by Discuz! Board

標題: Samba @ CentOS 4.7 問題請教 [打印本頁]

作者: Kc-Pro 時間: 2009-7-29 18:56 標題: Samba @ CentOS 4.7 問題請教

我用o左呢個網的方法架設
http://plog.tcc.edu.tw/post/1780/48630

而家想係samba中set權限限制

現在環境是:
samba server 已join入o左domain win2003
可以以win2003中的acc 入到 samba中的共用file
而win2003中有3組group
teacher group(當中有acc: Auser ,Buser ,Cuser)
student group(當中有acc: student)
domain admin(當中有acc: admin)
而以上的人都有domain users 呢個group入面

samba

[global]
workgroup = domain
netbios name = shareserver
realm = domain.com
security = ADS
encrypt passwords = yes
os level = 20
#idmap uid = 16777000-33550000
#idmap gid = 16777000-33550000
idmap uid = 10000-20000
idmap gid = 10000-20000
password server = dc
winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U
dos charset = Big5
unix char set = Big5
dos charset = CP950
admin users = domain\admin
server string = Data Server
log file = /var/log/samba/%m%U%G.log
max log size = 50
[vcommon]
path = /videodata/vcommon
public = yes
writable = yes
read list = "domain\Domain users"
write list = "domain\teacher group"
create mask = 3777
directory mask = 3777
force create mode = 3777
security mask = 3777
force security mode = 3777
force directory mode = 3777
directory security mask = 3777
vfs object = recycle
recycle:keeptree = yes
recycle:versions = yes
recycle:exclude = .tmp|.temp|.o|.ob
recycle:repository = ../recycle/vcommon/%u
#veto files=/*.tmp/*.wmv/*.mpeg/*.dat/*.mpg/*.rm/*.rmvb/*.mov/*.db/*.flv/*.3gp/*.vob/*.asf/

複製代碼

所有用戶都可讀到個共用file
但係我想 student group的人real only呢個共用file

但係整黎整去student group中的人都係寫到野入去
唔知錯o左邊度呢

(ls -l系統中顯示寫入的資料
drwxrwsrwt 9 teacher root 4096 Jul 29 18:43 Subject
drwxrwsrwt 9 student root 4096 Jul 29 18:43 temp
)
唔知係未同呢個group分唔到有關?

[ 本帖最後由 Kc-Pro 於 2009-7-29 19:00 編輯 ]

作者: 有你便有我 時間: 2009-7-29 19:03

3777 is wrong.....

作者: Kc-Pro 時間: 2009-8-2 20:14

原帖由 有你便有我 於 2009-7-29 19:03 發表
3777 is wrong.....

但我試過其他set法反而做唔到效果=-="

auser開o左filea 之後buser 放野入filea
auser要del/控制/改變到filea入面的所有資料
buser 只可刪buser放入filea的檔案,不能刪filea其他不屬於buser的野

而家咁set先ok.....

作者: 有你便有我 時間: 2009-8-3 14:58

咁你set sticky bit ok ge.......

作者: Kc-Pro 時間: 2009-8-4 19:21

原帖由 有你便有我 於 2009-8-3 14:58 發表
咁你set sticky bit ok ge.......

我改o左用1777
刪唔到
但係比人改到

作者: 有你便有我 時間: 2009-8-4 20:14

原帖由 Kc-Pro 於 2009-8-4 19:21 發表

我改o左用1777
刪唔到
但係比人改到

有無試過用setfacl黎set permission??

作者: lazyfai 時間: 2009-8-4 21:20

正解 again !
Samba 唔係淨係睇 octet mode，仲有 ACL。
其他 OS 寫嘢入 Samba server 時係會寫入 ACL entry，唔係改 file owner/group 嘅。
參考: http://www.howtoforge.com/samba_active_directory (留意 acl & domain )

原帖由 有你便有我 於 2009-8-4 20:14 發表 [img]http://www.hkepc.com/forum
/images/common/back.gif[/img]

有無試過用setfacl黎set permission??

作者: Kc-Pro 時間: 2009-8-4 23:37

原帖由 有你便有我 於 2009-8-4 20:14 發表

有無試過用setfacl黎set permission??

其實.....sticky bit是否不可與acl共存?

作者: lazyfai 時間: 2009-8-4 23:45

可以不過你用得 AD 就應該用晒 samba + acl ，唔駛理 sticky 乜。
你 mount 個 partition 加 acl option, 再喺 samba set 返叫佢用 acl，之後試下玩 getfacl/setfacl 就得，然後可以玩下喺 AD 度 set d files / directories owner/rights。

原帖由 Kc-Pro 於 2009-8-4 23:37 發表

其實.....sticky bit是否不可與acl共存?

作者: Kc-Pro 時間: 2009-8-4 23:55

原帖由 lazyfai 於 2009-8-4 23:45 發表
可以不過你用得 AD 就應該用晒 samba + acl ，唔駛理 sticky 乜。
你 mount 個 partition 加 acl option, 再喺 samba set 返叫佢用 acl，之後試下玩 getfacl/setfacl 就得，然後可以玩下喺 AD 度 set d files / directories owner/rights。

而家SET到ar 不過唔知係未sticky 作怪所以仲有問題

問題如下
其他人del唔到auser所建立的野
但可修改

作者: lazyfai 時間: 2009-8-4 23:58

唔好再用 sticky bit, 整個新 directory, 用 AD 加D user groups 入去，試下 set read/write/full permission，做下實驗。

原帖由 Kc-Pro 於 2009-8-4 23:55 發表

而家SET到ar 不過唔知係未sticky 作怪所以仲有問題
問題如下
其他人del唔到auser所建立的野
但可修改

作者: Kc-Pro 時間: 2009-8-5 18:48

原帖由 lazyfai 於 2009-8-4 23:58 發表
唔好再用 sticky bit, 整個新 directory, 用 AD 加D user groups 入去，試下 set read/write/full permission，做下實驗。

今日試o左未能做到我想要的效果.....比不用sticky bit仲衰.........

同埋發現samba 認唔到group 唔知我打錯定點
e.g read list = "domain\domain users"
係認唔到
個group名真係叫"domain users"

就算跟佢用"+" 你比個link做都係唔work

作者: lazyfai 時間: 2009-8-5 20:36

總之理想情況下係唔應該用 sticky bit，呢啲係 linux/unix 嘢，夾AD 會好多問題。
不如你 post 你個新改好嘅 smb.conf 出嚟睇下。
你個問題應該唔關 seperator 事，"domain+domain users" 或者 "domain\\domain users" 都可以用。
可能係 ACL 部份 set 錯。

作者: Kc-Pro 時間: 2009-8-6 10:41

[global]
workgroup = DOMAIN
netbios name = video
realm = domain.com
security = ADS
encrypt passwords = yes
os level = 20
#idmap uid = 16777000-33550000
#idmap gid = 16777000-33550000
idmap uid = 10000-20000
idmap gid = 10000-20000
password server = 10.102.240.102
winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U
dos charset = Big5
unix char set = Big5
dos charset = CP950
#admin users = DOMAIN\kch
server string = Video Data Server
log file = /var/log/samba/%m%U%G.log
max log size = 50
[vcommon]
path = /videodata/vcommon
browseable = yes
writable = yes
#public = yes
inherit acls = yes
inherit permissions = yes
create mask = 700
directory mask = 700
valid users = "DOMAIN\\Domain users","DOMAIN\\Domain admins"
admin users = DOMAIN\kch
#read list = DOMAIN\Domain users,DOMAIN\Domina admins
#write list = DOMAIN\teacher group
#force create mode = 777
#security mask = 777
#force security mode = 777
#force directory mode = 777
#directory security mask = 777
vfs object = recycle
recycle:keeptree = yes
recycle:versions = yes
recycle:exclude = .tmp|.temp|.o|.ob
recycle:repository = ../recycle/vcommon/%u
#veto files=/*.tmp/*.wmv/*.mpeg/*.dat/*.mpg/*.rm/*.rmvb/*.mov/*.db/*.flv/*.3gp/*.vob/*.asf/

複製代碼

發現仲有另一問題
valid users = "DOMAIN\\Domain users","DOMAIN\\Domain admins"
但係有關係個個group個user都入唔到.......

作者: lazyfai 時間: 2009-8-6 11:08

有個方法可以直接喺 Linux 果邊玩 ACL 嘅。
開 sytem-config-authentication 較埋 system 用 AD 做 authentication 先，睇圖畫。
[attach]922485[/attach]
之後你 chown, chgrp, getfacl, setfacl 都可直接用 AD users & groups.

作者: patrickit 時間: 2009-8-6 11:20

見你整左咁耐, 問下, 你個SAMBA係乜版本? 跟CENTOS 4.7?
唔同版本, 唔同玩法, 總之非必要我都唔攪太多野, 愈攪愈死, 尤其上AD, 小弟愚見, 免費野唔要求咁多, 做到小小野已經足夠.
SAMBA最新版本試左未? 我雖然裝左但都唔連AD.

作者: 有你便有我 時間: 2009-8-6 11:54

原帖由 Kc-Pro 於 2009-8-6 10:41 發表
[global]
workgroup             = DOMAIN
netbios name          = video
realm                = domain.com
security             = ADS
encrypt passwords    = yes
os level             = 20
...

group前面要加@

作者: Kc-Pro 時間: 2009-8-6 12:33

原帖由 patrickit 於 2009-8-6 11:20 發表
見你整左咁耐, 問下, 你個SAMBA係乜版本? 跟CENTOS 4.7?
唔同版本, 唔同玩法, 總之非必要我都唔攪太多野, 愈攪愈死, 尤其上AD, 小弟愚見, 免費野唔要求咁多, 做到小小野已經足夠.
SAMBA最新版本試左未? 我雖然裝左但都唔連AD.

samba-3.0.28-0.el4.9
我的要求上幾層講o左~.~

[ 本帖最後由 Kc-Pro 於 2009-8-6 12:35 編輯 ]

作者: Kc-Pro 時間: 2009-8-6 12:34

原帖由 有你便有我 於 2009-8-6 11:54 發表

group前面要加@

你指邊個?
e.g

作者: Kc-Pro 時間: 2009-8-6 12:37

原帖由 lazyfai 於 2009-8-6 11:08 發表
有個方法可以直接喺 Linux 果邊玩 ACL 嘅。
開 sytem-config-authentication 較埋 system 用 AD 做 authentication 先，睇圖畫。
922485
之後你 chown, chgrp, getfacl, setfacl 都可直接用 AD users & groups.

跟我#1做法已經可以直接用到ad users同groups

問題係samba好似認唔到or我打錯

[ 本帖最後由 Kc-Pro 於 2009-8-6 12:37 編輯 ]

作者: 有你便有我 時間: 2009-8-6 12:38

原帖由 Kc-Pro 於 2009-8-6 12:34 發表

你指邊個?
e.g

eg:
valid users = @"SCHEMMER\Acct", @"SHEMMER\Domain Admins"

作者: Kc-Pro 時間: 2009-8-6 18:15

原帖由 有你便有我 於 2009-8-6 12:38 發表

eg:
valid users = @"SCHEMMER\Acct", @"SHEMMER\Domain Admins"

試過....唔work