Доступ к папкам

[gambit-06]

Добрый день.
Прошу помощи.
Установлен 9.0.0.1 - Sandstorm.
NAS выполняет роль файлопомойки для 10 пользователей(4 отдела), для каждого отдела созданы папки в которые не могут зайти пользователи с других отделов (Ограничивал доступ к папкам по IP), для каждого человека создан логин и пароль для входа, теперь не могу разобраться как создать общую папку для 2х отделов и как разграничить доступ?

И ещё проблема есть общая папка я создал её для общего обмена зайти туда могут все, я создаю ещё одну такую же папку(под другим именем) зайти туда могут все но не могут туда заливать файлы пишет "отказано в доступе", не могу понять что я делаю не та...
При установке и настройка пользовался вот этими руководствами http://2gusia.livejournal.com/4883.html
В заранее спасибо за помощь.

[russian]

В плане разграничивания прав доступа к папкам, так, чтобы у каждого была своя папка, и при этом были общие, камрад alexey123 давал в своё время такой линк на решение на базе nullfs:

https://sites.google.com/site/aganimkar ... enas-share

и там потом еще ссылка на пример с 2-уровневым доступом, там есть моменты, общие с твоей задачей:

https://sites.google.com/site/aganimkar ... /for-jay-g

Может из этого что-нибудь почерпнёшь, по-моему очень гибкий вариант.

[gambit-06]

В плане разграничивания прав доступа к папкам, так, чтобы у каждого была своя папка, и при этом были общие, камрад alexey123 давал в своё время такой линк на решение на базе nullfs:

https://sites.google.com/site/aganimkar ... enas-share

и там потом еще ссылка на пример с 2-уровневым доступом, там есть моменты, общие с твоей задачей:

https://sites.google.com/site/aganimkar ... /for-jay-g

Может из этого что-нибудь почерпнёшь, по-моему очень гибкий вариант.

Спасибо буду смотреть пробовать...

[alexey123]

Ну я не только там писал, я еще сюда на форум отдельно вывел многабукав, и вышивать тоже, дааа
gambit-06
Применение анонимной шары хорошо дома, когда 3-4 человека имеют доступ. В компаниях лучше применять юзерлевел.
Нужно учесть только несколько вещей.
1. Криво установленные программы не дают нормально работать самба-серверу. Пример слова luxа, если коротко "снеси все нахрен вместе с конфигом и ты увидишь как это работает"
2. Обозвана должна быть только одна! шара, все остальные общие между группами, общие для всех папки сделаешь стартап скриптом с помощью mount_nullfs.
3. от эта штука работает не только по самбе, но и по FTP, а также все не соберусь написать как прибить к ней ридонли http, для просмотра документов например - мне http удобней.
Один недостаток.
Зачастую програмы, поставленые на окны выполняются от имени совершенно левого пользователя, причом может быть даже такое, что к реганному юзернейму такая программа добавляет хвост, составленный из комбинации хостнейма, юзернейма, текущего времени, да и закодированый еще к тому же. Окнам такая вещь побарабану, там в системе любой может делать что угодно, а вот Юникс такого недопользователя не знает и потому не пустит. Я с такими прогами, чтобы не заморачиваться, борюсь просто - результат работы сохраняю на винте (естественно с латинским написанием и без спецсимволов в пути и названии файла ) и затем 2 раза в день - rsinc, туда где надо.

Дад, чуть не забыл.
вот такая шара /mnt/disk кривая, нужно делать путь от корня минимум три папки, даже если планируешь отдать весь диск. Пример /mnt/disk/share. С zfs аналогично, я не пробовал.. Ну, скажем, чтобы не расстраивать лишний раз, мне железо не позволяет юзать zfs.

[gambit-06]

Ну я не только там писал, я еще сюда на форум отдельно вывел многабукав, и вышивать тоже, дааа
gambit-06
Применение анонимной шары хорошо дома, когда 3-4 человека имеют доступ. В компаниях лучше применять юзерлевел.
Нужно учесть только несколько вещей.
1. Криво установленные программы не дают нормально работать самба-серверу. Пример слова luxа, если коротко "снеси все нахрен вместе с конфигом и ты увидишь как это работает"
2. Обозвана должна быть только одна! шара, все остальные общие между группами, общие для всех папки сделаешь стартап скриптом с помощью mount_nullfs.
3. от эта штука работает не только по самбе, но и по FTP, а также все не соберусь написать как прибить к ней ридонли http, для просмотра документов например - мне http удобней.
Один недостаток.
Зачастую програмы, поставленые на окны выполняются от имени совершенно левого пользователя, причом может быть даже такое, что к реганному юзернейму такая программа добавляет хвост, составленный из комбинации хостнейма, юзернейма, текущего времени, да и закодированый еще к тому же. Окнам такая вещь побарабану, там в системе любой может делать что угодно, а вот Юникс такого недопользователя не знает и потому не пустит. Я с такими прогами, чтобы не заморачиваться, борюсь просто - результат работы сохраняю на винте (естественно с латинским написанием и без спецсимволов в пути и названии файла ) и затем 2 раза в день - rsinc, туда где надо.

Дад, чуть не забыл.
вот такая шара /mnt/disk кривая, нужно делать путь от корня минимум три папки, даже если планируешь отдать весь диск. Пример /mnt/disk/share. С zfs аналогично, я не пробовал.. Ну, скажем, чтобы не расстраивать лишний раз, мне железо не позволяет юзать zfs.

Разграничение айпишниками(на разрешение или запрет) с полным правами на шару, будет неправильным решением?

[alexey123]

Разграничение айпишниками(на разрешение или запрет) с полным правами на шару, будет неправильным решением?

Ненужный тоталитаризм

[Raf_z]

Разграничение айпишниками(на разрешение или запрет) с полным правами на шару, будет неправильным решением?

Подскажите, как это сделать?

[gambit-06]

Разграничение айпишниками(на разрешение или запрет) с полным правами на шару, будет неправильным решением?

Подскажите, как это сделать?

Я это делал через шару, при создании шары есть поля Hosts allow и Hosts deny...
Но как уже указали выше это не правильное решение...

[gambit-06]

А для чего нужны mask = 0644 и mask = 0755 за что они отвечают?

[alexey123]

А для чего нужны mask = 0644 и mask = 0755 за что они отвечают?

На моем сервере демократия и права человека распространяются только на root из группы wheel. Все остальные пользователи подвергаются лишениям и выгоняниям. У них отнято окносвятое - наследование прав на создаваемые ими папки и файлы. У меня вроде написано Create mask = 664

Это значит, что юзеры могут открывать и редактировать файл (первая 6), члены стаи группы юзеров могут открыватьфайлы, созданные другими членами и редактировать их(вторая 6), заблудшие гости (дада, например индексаторы какие нибудь ) могут только читать файлы(третья 4). Окны по определению не могут создавать файлы, исполняемые на юниксе, поэтому с целью повреждения случайно забежавшего эксплойта права на исполнение у файлов нет.

С директориями такая же картинка (775), только добавлен бит исполнения - это значит, что пользователи могут открывать папки для просмотра че там внутри.

Да, и я сам, когда занимаюсь работой а не администрированием, становлюсь таким же точно униженным и оскорбленным

[gambit-06]

А для чего нужны mask = 0644 и mask = 0755 за что они отвечают?

На моем сервере демократия и права человека распространяются только на root из группы wheel. Все остальные пользователи подвергаются лишениям и выгоняниям. У них отнято окносвятое - наследование прав на создаваемые ими папки и файлы. У меня вроде написано Create mask = 664

Это значит, что юзеры могут открывать и редактировать файл (первая 6), члены стаи группы юзеров могут открыватьфайлы, созданные другими членами и редактировать их(вторая 6), заблудшие гости (дада, например индексаторы какие нибудь ) могут только читать файлы(третья 4). Окны по определению не могут создавать файлы, исполняемые на юниксе, поэтому с целью повреждения случайно забежавшего эксплойта права на исполнение у файлов нет.

С директориями такая же картинка (775), только добавлен бит исполнения - это значит, что пользователи могут открывать папки для просмотра че там внутри.

Да, и я сам, когда занимаюсь работой а не администрированием, становлюсь таким же точно униженным и оскорбленным

Вопрос такой как дать доступ к файлам папки(владелец:группа владельцев test:TEST) пользователю из другой группы(или целой группе)?
p.s. был в долгосрочной командировке ...

[gambit-06]

АУ народ!!!

[gambit-06]

Ваще туплю после долгих загораний в сочах...((

Судя из выше предложенных линков: имеется 2 группы g1 и g2 для них определены папки f1(правами 770) и f2(правами 770). имеется общая папка F(правами 777). мне нужно чтобы пользователи из g1 имели доступ к некоторым файлам из папки f2 группы g2, мои действия я создаю 2 одинаковые папки в папках f1 и f2, те файлы к которым необходим доступ мы отправляем в вновь созданную папку группы g2, и с помощью mount_nullfs создаём ссылку с папки из группы g1 на папку в группе g2. Выставляем права на эту папку 777. Я всё правильно понял?

[alexey123]

Зачем нужно многогрупп ? Чтобы потом запутаться? Всех их в одну группу, открой им одну папку публик, пусть там сохраняют файлы общего пользования

[gambit-06]

Зачем нужно многогрупп ? Чтобы потом запутаться? Всех их в одну группу, открой им одну папку публик, пусть там сохраняют файлы общего пользования

Я бы рад так сделать но политика предприятия мешает, у меня так сейчас и работает но мене все мозги пропилили уже. Вот и ищу как можно этот огород с городить.
Наткнулся на Подмену id пользователя...

[alexey123]

Я бы рад так сделать но политика предприятия мешает, у меня так сейчас и работает но мене все мозги пропилили уже.

Афигеть. С каких это пор лица, определяющие политику предприятия стали разбираться в правах Unix. Если умные такие, то пусть нарисуют на бумаге то что они хотят.
Скорей всего понты дешевые кака бычно.
Кстати, что мешает сделать как в моем псто

обычные угнетенные юзеры даже не увидят содержимое папки приват, даже не будут знать о ее существовании

Вот и ищу как можно этот огород с городить.
Наткнулся на Подмену id пользователя...

Можно конечно сделать RUNas ярлык, но тогда нужно вести подробный журнал самбы и корзинку, чтобы какое то время хранить старые измененные файлы

[oxor]

Добрый день.
Прошу помощи.

Уж простите меня за глупый вопрос, новинкий в етом деле, пробую делат своими силами но вот одну вещь невыходит сделать.
Ну вот, допустим есть 2 ползабателя: работник и читатель , а также 2 папки с такиими же названиями. Мне нужно чтобы работник имелбы полный доступ к обоим папкам, то есть могбы делат все возмозные операцыи с фаилами, а читатель чтобы имелбы доступ к папке читатель и могбы толко читачь содержание етои папки. возможно ли ето цделать?