abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 12:00 | Zajímavý projekt

Projekt Termbox umožňuje vyzkoušet si linuxové distribuce Ubuntu, Debian, Fedora, CentOS a Arch Linux ve webovém prohlížeči. Řešení je postaveno na projektu HyperContainer. Podrobnosti v často kladených dotazech (FAQ). Zdrojové kódy jsou k dispozici na GitHubu [reddit].

Ladislav Hagara | Komentářů: 9
dnes 11:00 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2016-8655 v Linuxu zneužitelné k lokální eskalaci práv. Chyba se dostala do linuxového jádra v srpnu 2011. V upstreamu byla opravena minulý týden [Hacker News].

Ladislav Hagara | Komentářů: 0
včera 22:00 | Komunita

Přibližně před měsícem bylo oznámeno, že linuxová distribuce SUSE Linux Enterprise Server (SLES) běží nově také Raspberry Pi 3 (dokumentace). Obraz verze 12 SP2 pro Raspberry Pi 3 je ke stažení zdarma. Pro registrované jsou po dobu jednoho roku zdarma také aktualizace. Dnes bylo oznámeno, že pro Raspberry Pi 3 je k dispozici také nové openSUSE Leap 42.2 (zprávička). K dispozici je hned několik obrazů.

Ladislav Hagara | Komentářů: 5
včera 06:00 | Zajímavý software

OMG! Ubuntu! představuje emulátor terminálu Hyper (GitHub) postavený na webových technologiích (HTML, CSS a JavaScript). V diskusi k článku je zmíněn podobný emulátor terminálu Black Screen. Hyper i Black Screen používají framework Electron, stejně jako editor Atom nebo vývojové prostředí Visual Studio Code.

Ladislav Hagara | Komentářů: 46
včera 06:00 | Zajímavý článek

I letos vychází řada ajťáckých adventních kalendářů. QEMU Advent Calendar 2016 přináší každý den nový obraz disku pro QEMU. Programátoři se mohou potrápit při řešení úloh z kalendáře Advent of Code 2016. Kalendáře Perl Advent Calendar 2016 a Perl 6 Advent Calendar přinášejí každý den zajímavé informace o programovacím jazyce Perl. Stranou nezůstává ani programovací jazyk Go.

Ladislav Hagara | Komentářů: 10
3.12. 16:24 | Nová verze

Byla vydána Mageia 5.1. Jedná se o první opravné vydání verze 5, jež vyšla v červnu loňského roku (zprávička). Uživatelům verze 5 nepřináší opravné vydání nic nového, samozřejmě pokud pravidelně aktualizují. Vydání obsahuje všechny aktualizace za posledního téměř půldruhého roku. Mageia 5.1 obsahuje LibreOffice 4.4.7, Linux 4.4.32, KDE4 4.14.5 nebo GNOME 3.14.3.

Ladislav Hagara | Komentářů: 17
3.12. 13:42 | Pozvánky

V Praze probíhá konference Internet a Technologie 16.2, volné pokračování jarní konference sdružení CZ.NIC. Konferenci lze sledovat online na YouTube. K dispozici je také archiv předchozích konferencí.

Ladislav Hagara | Komentářů: 0
2.12. 22:44 | Komunita

Joinup informuje, že Mnichov používá open source groupware Kolab. V srpnu byl dokončen dvouletý přechod na toto řešení. V provozu je asi 60 000 poštovních schránek. Nejenom Kolabu se věnoval Georg Greve ve své přednášce Open Source: the future for the European institutions (SlideShare) na konferenci DIGITEC 2016, jež proběhla v úterý 29. listopadu v Bruselu. Videozáznam přednášek z hlavního sálu je ke zhlédnutí na Livestreamu.

Ladislav Hagara | Komentářů: 25
2.12. 15:30 | Zajímavý projekt

Společnost Jolla oznámila v příspěvku Case study: Sailfish Watch na svém blogu, že naportovala Sailfish OS na chytré hodinky. Využila a inspirovala se otevřeným operačním systémem pro chytré hodinky AsteroidOS. Použita je knihovna libhybris. Ukázka ovládání hodinek na YouTube.

Ladislav Hagara | Komentářů: 18
2.12. 14:15 | Nová verze

Byla vydána verze 7.1.0 skriptovacího jazyka PHP používaného zejména k vývoji dynamických webových stránek. Jedná se o první stabilní verzi nejnovější větvě 7.1. Přehled novinek v dokumentaci. Podrobnosti v ChangeLogu. K dispozici je také příručka pro přechod z PHP 7.0.x na PHP 7.1.x.

Ladislav Hagara | Komentářů: 7
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 775 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: samba a mapování

22.8.2008 08:43 jnovacek | skóre: 22 | blog: NovLin
samba a mapování
Přečteno: 1167×
Dobrý den.
V konfiguračním souboru smb.conf le logon drive. Má se po přihlášení automaticky připojit domovský adresář pod tímto označením, nebo musím udělat net use .... V případě, že musím net use udělat proč je tam toto nasatvení? Já musím po přihlášení disky namapovat buď ručně nebo pomocí logon scriptu.
Druhý dotaz. Je ve sdílení možné použít proměnnou %g nebo %G.
[skupina]
path = /home/%g
...
případně jak tohle řešit. Chci každé skupině namapovat vlastní společný adresář.
Používám LDAP a tam mám vytvořeno několik organizačních jednotek (skupina1, skupina2, atd.). Teprve v těchto jednotkách se nachází uživatelé.

Odpovědi

22.8.2008 08:58 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: samba a mapování
V konfiguračním souboru smb.conf le logon drive. Má se po přihlášení automaticky připojit domovský adresář pod tímto označením, nebo musím udělat net use .... V případě, že musím net use udělat proč je tam toto nasatvení?
Musíte zavolat net use /home. To nastavení je tam proto, aby klientský systém věděl, který je ten síťový domovský adresář uživatele, a pokud zavoláte třeba právě net use /home, aby příkaz věděl, které sdílení má připojit. Ta cesta je dostupná přes API v informacích o uživateli, takže jiné programy to mohou používat k něčemu dalšímu (třeba umístění startovacích skriptů apod.).
Je ve sdílení možné použít proměnnou %g nebo %G.
[skupina]
path = /home/%g
...
Ano, je to možné.
22.8.2008 09:03 jnovacek | skóre: 22 | blog: NovLin
Rozbalit Rozbalit vše Re: samba a mapování
a odkazuje se %g nebo %G na organization unit? Mně to nefunguje. Zjišťuji zda dělám něco špatně a nebo to takhle nejde.
22.8.2008 09:51 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: samba a mapování
a odkazuje se %g nebo %G na organization unit? Mně to nefunguje. Zjišťuji zda dělám něco špatně a nebo to takhle nejde.
Ani jedna. %g a %G se odkazují na primární skupinu uživatele – v jednom případě je to přihlášený uživatel, v druhém případě je to požadovaný uživatel (uživatelské jméno, které bylo v požadavku na přihlášení).
22.8.2008 11:16 jnovacek | skóre: 22 | blog: NovLin
Rozbalit Rozbalit vše Re: samba a mapování
a je možné se nějak k organization unit dostat? Nebo existují ještě nějaké proměnné, které při mapování mohu použít. Na co se odkazuje %$var. Předem děkuji
22.8.2008 13:12 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: samba a mapování
a je možné se nějak k organization unit dostat?
Podle mne to možné není, je to záležitost specifická pouze pro LDAP a ještě navíc pro určitý tvar LDAP stromu. Podle mne by ale neměl být problém nějakým skriptem si vygenerovat příslušné skupiny a uživatelům je nastavit jako primární (pokud je to možné). Pokud primární skupiny měnit nemůžete, použijte jiné skupiny, sdílení nastavujte pro každého uživatele (s parametrem %u nebo %U), a na serveru použijte odkazy (opět je můžete automaticky vygenerovat).
Nebo existují ještě nějaké proměnné, které při mapování mohu použít.
Existují, jsou popsané v man smb.conf, ale podle mne tam není žádná substituce, která by se vám hodila.
Na co se odkazuje %$var.
Proměnná prostředí, platí pro celý server, takže s tím neodlišíte jednotlivé uživatele.
22.8.2008 09:38 jnovacek | skóre: 22 | blog: NovLin
Rozbalit Rozbalit vše Re: samba a mapování
a ještě jednou. Jak jsem říkal používám LDAP a tam mám nastavené atributy homeDirectory, sambaHomePath a sambaHomeDrive. V smb.conf jsou obdobné. Které se používají. Má úvaha je takováto: když existují v LDAP použijí se tyto jinak se použijí ty z konfiguračního souboru. Je to tak?
22.8.2008 09:51 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: samba a mapování
Ano, je to tak.
22.8.2008 13:16 jnovacek | skóre: 22 | blog: NovLin
Rozbalit Rozbalit vše Re: samba a mapování
mimo jiné to net use /home mi nefunguje. Je nějaká možnost použít proměnné ze samby respektive z LDAP i v logon scriptu? Používal jsem Novell a tam to nebyl problém. V loginscriptu jsem mohl používat některé proměnné z nastavení uživatele.
22.8.2008 15:17 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: samba a mapování
mimo jiné to net use /home mi nefunguje.
Co to znamená? Hlásí to nějakou chybu, nebo to proběhne ale disk se na příslušné písmenko nenamapuje?
Je nějaká možnost použít proměnné ze samby respektive z LDAP i v logon scriptu?
Není. Můžete tam používat proměnné nadefinované v prostředí uživatele.
22.8.2008 16:02 jnovacek | skóre: 22 | blog: NovLin
Rozbalit Rozbalit vše Re: samba a mapování
po opravě v LDAP jsem zjistil, že příslušný disk se namapuje sám automaticky.

net use /home vypíše nápovědu "Syntaxe příkazu je ...". Našel jsem, že tam má být toto net use H: /home, ale když se tam ten disk udělá automaticky tak to nepotřebuji.
22.8.2008 17:07 VSi | skóre: 28
Rozbalit Rozbalit vše Re: samba a mapování
Na Windows NT+ to funguje automaticky, podle nastavení v Sambě - logon drive, obvykle se používá H: (home).

Ten příkaz net use H: /home se používal na Windows 98
22.8.2008 17:42 jnovacek | skóre: 22 | blog: NovLin
Rozbalit Rozbalit vše Re: samba a mapování
používám Windows XP Pro SP 3 a vážně to nefunguje.
22.8.2008 22:49 VSi | skóre: 28
Rozbalit Rozbalit vše Re: samba a mapování
Jak to myslíte, že nefunguje? Používáme taky Win XP SP3, logon script mám napsaný ve VBS a H:\ na domovský adresář se vždy namapuje (je nastaveno jen v smb.conf, nastavení přes LDAP nepoužívám). Viděl bych to spíš na špatné nastavení Samby pro domovské adresáře.

Spíš mapování ostatních disků občas velmi záhadně zlobí. Mám to nějak takhle:
  objNetwork.MapNetworkDrive "K:", "\\server\sw"
A v naprosté většině případů to funguje. Někdy se zcela náhodně stane, že se disk nepřipojí (třeba jeden ze čtyř!). Tedy není vidět v "Tento počítač", ale např. v save disalogu jakékoliv aplikace vidět je! Nesetkal se tím někdo? Občas to docela vadí a nikde jsem na řešení podobného problému nenarazil.
22.8.2008 20:16 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: samba a mapování
net use /home vypíše nápovědu "Syntaxe příkazu je ...". Našel jsem, že tam má být toto net use H: /home, ale když se tam ten disk udělá automaticky tak to nepotřebuji.
Omlouvám se za zmatení, předpokládal jsem, že si automaticky najdete přesnou syntaxi toho příkazu net – psal jsem to jenom jako zkratku „ten příkaz net s parametrem /home“, sám si taky nepamatuju, jak ty parametry mají přesně vypadat. Ale měl jsem to napsat, že nepíšu přesnou syntaxi.
22.8.2008 18:37 jnovacek | skóre: 22 | blog: NovLin
Rozbalit Rozbalit vše Re: samba a mapování
ještě potřebuji poradit s nastavováním práv. V LDAP mám vytvořenou následující strukturu:
groups: skupina1, skupina2, skupina3, atd.
users: user1a, user1b, user2a, user2b, user3a, atd.
dále jsem přiřadil uživatele user1x do skupina1, user2x do skupina3, atd.
na disku v home mám vytvořeno toto:
je tam adresář skupina1, skupina2, skupina3, atd.
v jednotlivých adresářích jsou uživatelské adresáře a je tam i adresář vsichni. Uživatelům funguje správně domovský adresář, ale já ještě potřebuji udělat to, aby uživatelé skupiny skupina1 viděli adresář /home/skupina1/vsichni s právem ReadOnly. Ostatní uživatelé ať ani hlavní adresář skupina1 nevidí.
To však není vše, mám ješte skupinu skupinaU a v ní uživatele userU1, userU2 atd.
Některým z těchto uživatelů chci umožnit plný přístup na adresář třeba právě skupina1. To znamená, že uvidí a budou moci editovat všechny adresáře uživatelů user1x a adresář vsichni.
Snažím se to vyřešit pomocí include v smb.conf takto. Každý uživatel z skupina1 má malý konfigurák podobný tomuto:
[vsichni]
path=/home/skupina1/vsichni
read only = Yes
browsable = Yes
valid users =@skupina1

Toto funguje a uživatelé nesmí zapisovat.
Pak mám tu druhou skupinu - skupinaU. Tam mám zase pomocí include něco takovéhoto: [skupina1]
path=/home/skupina1
read only = No
browsable = Yes
valid users =userU1

Toto už tak úplně nefunguje. Uživatel vidí sdílení, může procházet, ale nemůže zapisovat.
Předpokládám, že je problém v nastavení atributů adresářů pod Linuxem. Libovolný uživatel přihlášený v Linuxu tyto adresáře vidí a může je procházet. Jak to mám přenastavi. Prosím o radu a předem děkuji.
22.8.2008 20:25 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: samba a mapování
Myslím, že máte dvě možnosti. Buď budete pro každou specifickou skupinu práv zakládat novou skupinu, a uživatelé pak budou členy spousty skupin. Takže pokud mají mít nějací uživatelé přístup k určitému adresáři, budou všichni členové k tomu vytvořené skupiny. A ti, kteří tam mají mít i právo zápisu, budou zase v jiné speciální skupině (a adresářová struktura bude vypadat tak, že bude vrchní adresář, na kterém bude mít první skupina páva r-x a ostatní nic, a pod ním bude adresář, na kterém bude mít druhá skupina právo -w- a ostatní r-x, tím bude pro čtení přístupný pro první skupinu). Takhle nějak asi vypadá tradiční unixové pojetí práv, kdy každá specifická činnost má svou skupinu a uživatel je členem mnoha skupin.

Druhá možnost, která asi bude bližší vašemu pojetí přístupových práv (mně také vyhovuje víc), je ACL, se kterým můžete přidělovat k jednomu adresáři či souboru práva více uživatelům či skupinám. Takže můžete na jeden a ten samý adresář přiřadit jedné skupině právo čtení a jiné právo zápisu. Příslušné příkazy jsou setfacl a getfacl.

Zvolil bych jeden z výše uvedených způsobů nastavení práv než se pokoušet to nastavit pomocí práv ke sdílení na Sambě. Připadá mi to jako čistší a operativnější řešení.
22.8.2008 21:19 jnovacek | skóre: 22 | blog: NovLin
Rozbalit Rozbalit vše Re: samba a mapování
děkuji za odpověď.
Dlouhé roky jsem dělal na Novellu a ten má tohle nastavování v pohodě a dá se tam vymyslet snad vše. Dnes však něco podobného musím vytvořit pomocí Linuxu a samby s LDAP. Nejsem žádný Linuxový guru (proto se pořád vyptávám), ale pomalu se do toho všeho dostávám.
Jak nastavím prvotní sdílení na sambě na adresář /home obsahující jednotlivé skupiny a užívatele, abych pak mohl tyto práva uplatňovat? Respektive libovolný adresář kde chci nastavovat práva pomocí ACL. Předpokládám, že nastavení bude zakazovat jakoukoliv činnost a pomocí ACL to v podadresářích budu upravovat.
Jak potom zajistím, obdobnou funkčnost Linuxových uživatelů? Bude se využívat ACL i na Linuxové uživatele? Mohu použít nastavování ACL prostřednictvím Windows?
22.8.2008 22:23 VSi | skóre: 28
Rozbalit Rozbalit vše Re: samba a mapování
Rozhodně bych doporučil řešit to přes ACL. Nastavování práv v Sambě je dobré se vyhnout, protože se uplatňuje jen pro Sambu a ne pro přístup z Linuxu.

ACL v současnosti funguje naprosto bez problémů, jde vlastně jen o rozšíření klasických UNIX práv. ACL se uplatňují transparentně v Linuxu a přes Sambu fungují v klasickém Windows ACL editoru. Oproti NTFS ACL to má jistá specifika, ale když si je ujasníte, funguje to spolehlivě a předvídatelně.

Pro počáteční nastavení práv bych doporučil využít konzolový setfacl v linuxu, protože přece jenom přesně vidíte, jak to je a ne jak to interpretují Windows. Při tom právě zjistíte, jak to bude následně vypadat ve Windows, pokud nemáte s ACL zkušenosti.

Uživatele je dobré rozdělit do skupin podle jejich "vlastností", tj. (pokud si vzpomínám psal jste o prostředí školy) např. učitelé, studenti po třídách (ale mám zkušenost, že rozdělení práv po třídách se moc nevyužije) ap. Různým složkám pak pomocí ACL nastavíte práva pro tyto skupiny. Není moc dobré dávat nastavoval ACL více jednotlivým uživatelům - je dobré se zamslet a radši vytvořit další skupinu, protože do ní lze někoho přidat a ACL už není nutné měnit.

Uživatelé si naíc mohou nastavit ACL práva sami podle potřeby. Je to vcelku jednoduché, jenom takový příklad právě ze školy:

    Nastavení oprávnění pro sdílení souborů

22.8.2008 22:37 VSi | skóre: 28
Rozbalit Rozbalit vše Re: samba a mapování
Ještě k tomu nastavení na straně Samby:

Není potřeba nijak speciální nastavení, jen v [global] sekci smb.conf dáte inherit acls = yes.

Nastavení sdílení bohatě stačí takhle:
[public]
   comment = Sdílené adresáře
   path = /home/public
   writable = yes
   hide unreadable = yes
   admin users = @ntadmins
Práva na podadresáře se berou z normálních UNIX práv a z ACL. Tedy vytvořím např. podadresář /home/public/skupina1, vlastněný uživatelem root a skupinou skupina1, práva dáte na 2770 - tj. zápis jen pro členy skupina1. Přes ACL třeba ještě donastavíte přístup pro skupina2 jen pro čtení:
setfacl -m g:skupina2:r-x /home/public/skupina1
setfacl -m d:skupina2:r-x /home/public/skupina1
Ten druhý řádek nastavuje default ACL, tj. ACL, které "zděddí" soubory a adresáře zde vytvořené. Dají se stím udělat pěkné věci. Třeba do nějakého adresáře zapisovat všichni (př. studenti), ale nevidí soubory mezi sebou a ani si je nemohou přepsat, pak má jeden uživatel (př. učitel) přástup ke všem tak to uloženým souborů pro čtení i zápis.

Ještě k tomu nastavení:

hide unreadable je v tomto případě dobrá volba - uživatelé neuvidí adresáře/soubory, které stejně nemohou otevřít.

admin users definuje uživatele/skupinu, která přistupuje přes sambu jako root, tudíž se na ni žádná omezení práv nevztahují (hodí se na nastaví ACL na cizích souborech, pokud třeba někdo sám nastavení ACL zkazil).
23.8.2008 16:39 jnovacek | skóre: 22 | blog: NovLin
Rozbalit Rozbalit vše Re: samba a mapování
Tak a už je to tady zase. Nastavuji jednotlivé skupiny a vše jede tak jak má. Nikdo nevidí kam nemá, nikdo nemá přístup tam kam nemá. Ale je tady to ale. Ve skupině skupina1 mám uživatele uzivatel1, tento uživatel se rozhodne, že nastaví ACL ke svému adresáři někomu jinému. Ve windows to udělá několikerým kliknutí a v Linuxu použije setfacl. Je možné uživateli zakázat nastavovat práva na svůj adresář a přitom mu nastavit všechna práva na obsah svého adresáře? Předem děkuji Jirka
23.8.2008 16:49 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: samba a mapování
Je možné uživateli zakázat nastavovat práva na svůj adresář a přitom mu nastavit všechna práva na obsah svého adresáře?
Nastavovat práva může vlastník nebo root. Takže pokud uživateli dáte práva zápisu přes setfacl, ale vlastníkem bude někdo jiný, uživatel práva změnit nemůže. Pokud pak ale vytvoří nějaký nový soubor, který bude vlastnit, pro tento soubor už může práva přidělit někomu jinému. Ale pokud uživatel sám přidělí na svůj soubor práva někomu jinému, je to jeho problém, ne?
23.8.2008 17:19 jnovacek | skóre: 22 | blog: NovLin
Rozbalit Rozbalit vše Re: samba a mapování
Vše beru zpět. Vzal jsem to za špatný konec. Přenastavoval jsem vlastníky i group. Pak jsem nechal vše na root a pomocí setfacl začal přidávat příslušné skupiny a uživatele. A tak to asi má být. Jen jsem to na poprvé nepochopil.
23.8.2008 20:58 jnovacek | skóre: 22 | blog: NovLin
Rozbalit Rozbalit vše Re: samba a mapování
Tak úplně vše zpět neberu. Uživatelské adresáře jsou tak jak mají být. Ale mám problém s adresářem profilu. Mám ho umístěný v adresáři /home/profiles/skupina1/uzivatel1.
V smb.conf mám:
[profiles]
path = /home/profiles
browseable = No
read only = No
create mask = 0600
directory mask = 0700
store dos attributes = Yes
Jde o to, že zde musím nastavit buď other rwx a nebo na adresář s profilem dát owner student1. Když tam nechám root a na adresář s profilem dám setfacl -m u:uzivatel1:rwx /home/profiles/skupina1/uzivatel1 tak to nefunguje. Když jsem nastavil browsable = Yes a pokusil se něco v tomto adresáři udělat tak to funguje, ale profil se tam s tímto nastavením neuloží. Cesta k profilu je dobře, když změním other nebo vlastníka tak se profil ukládá.
23.8.2008 21:55 VSi | skóre: 28
Rozbalit Rozbalit vše Re: samba a mapování
Domovské adresáře je určitě dobré nachat s vlastníkem konkrétního uživatele. Profily se někdy doporučuje mít zvlášť, ale já je mám v podadresáři profile v domovském adresáři uživatele (není třeba se o to vůbec starat, stačí aby měl uživatel svůj ~ a adresář s profilem už se vytvoří při prvním přihlášení sám):

[global]

logon path = \\%N\%U\profile

[homes]
   comment = Domovský adresář
   browseable = no
   writable = yes
   valid users = %S
   create mask = 0711
   directory mask = 2711
   inherit permissions = yes
   map hidden = yes
   map system = yes
   csc policy = disable

Pokud nechcete, aby uživelům tenhle adresář "překážel", tak ho stačí pojmenovat .profile - a bude skrytý. Výhodou odděleného adresáře pro profily může být možnost neaplikovat na profily kvóty, ale to je ve škole spíš na škodu.

Podle mě to má takhle docela výhody, třeba při odstraňování účtu stačí odstranit jen domovský adresář. Pozor ještě na ty profily - je dobré uživatele upozornit aby nedávali velké věci na plochu a "Dokumenty" v Default profilu přesměrovat na H:\Dokumenty\ - profil se totiž při každém přihlášení kopíruje tam a zpět ze serveru na PC a může to pak trvat dost dlouho. Některé adresáře (Plocha, App Data lze přes nastavení v Registry přesměrovat - to se dá nastavit v Default User a pak to bude platné pro všechny).
23.8.2008 22:19 jnovacek | skóre: 22 | blog: NovLin
Rozbalit Rozbalit vše Re: samba a mapování
Není problém nastavit uživateli vlastnictví na svůj adresář, ale nevím jak nastavit, aby si uživatel nenaklikal to, že do jeho adresáře bude mít přístup někdo další. Potom se dá při písemce opisovat. Jak mám tedy nastavit, aby uživatel tyto práva nemohl nastavovat. Předem děkuji
23.8.2008 23:10 VSi | skóre: 28
Rozbalit Rozbalit vše Re: samba a mapování
Tak tohle je problém, který jsem zatím úplně nevyřešil.

U domovských adresářů to není problém, protože k tomu se jiní uživatelé přes Sambu nedostanou (to je zajištěno tím valid users = %S). Pokud by měli přístup i z Linuxu, tak by to byl větší problém, nicméně by to řešit ještě šlo.

Téměř neřešitelné je to ale u obecně sdílených adresářů, kam může zapisovat nějaký student a ostatní tam mají přístup. Obecně v Linuxu vlastníkovi nemůžete zabránit ve změně práv. Soubory tedy nesmí patřit uživateli, který k nim má přístup - to by šlo v Sambě řešit pomocí inherit user, kdy by vlastník všeho byl nobody. Pak zase bude problém s kvótami, což by šlo obejít skupinovými kvótami.

Závěr je takový, že pokud budou mít uživatelé na server přítup z Linuxu (třeba jen SCP), tak to, aby si nemohli přidat práva, řešit nelze. Pokud by měli přístup jen přes Sambu, tak by to nějak řešit šlo, ale časem by s tím stejně byly jen problémy.

Tomu opisování stejně nezabráníte. Jde to samozřejmě co nejvíc znesnadnit, tj. blokovat internet, pokusy o omezení změn práv na fileserveru... Ale nakonec stejně někdo přijde na to, jak to obejít. Stačí jeden a budou to používat všichni. P2P komunikaci mezi PC jen tak nezablokujete (musel by mít každý svůj subnet, nebo všude switche s izolací portů) - a když si všichni pustí nějaký P2P program na posílání souborů a chat po LAN, tak nic nepomůže.

Je pravda, že Netware filesystem je na tom s právy lépe. Ale na Linuxu je třeba AFS, který má vlastní velmi dobrý systém práv (ale zas nekompatibilní s POSIX), ale ten zprovoznit není jen tak a pro malou síť to nemá smysl. Nicméně je bezproblémový klient i pro Win a v akademických institucích se často používá.
23.8.2008 23:29 jnovacek | skóre: 22 | blog: NovLin
Rozbalit Rozbalit vše Re: samba a mapování
Ještě se zeptám takto. Na domovském adresáři mám nastaveno vlastníka root a skupinu .root. Pomocí setfacl jsem přidal práva na studenta takto:
linux-srv:/home/skupina1 # getfacl uzivatel1
# file: uzivatel1
# owner: root
# group: root
user::rwx
user:uzivatel1:rwx
group::r-x
mask::rwx
other::---

Jde nějak zajistit, aby to co vytvoří uživatel uzivatel1 ve svém adresáři mnělo nastavení stejná jako jeho adresář. Momentálně mi to funguje tak, že když tam něco vytvoří, stává se vlastníkem a může přiřadit práva někomu jinému.
23.8.2008 23:44 VSi | skóre: 28
Rozbalit Rozbalit vše Re: samba a mapování
To, že se stane vlatníkem, je v pořádku - jinak to fungovat nemůže. Samba to umožňuje obejít pomocí inherit owner, pak se to chová tak jak píšete. Ale při přístupu mimo Sambu to neplatí a je problém s kvótami, takže tak bych to určitě nedělal.

Podle toho výpisu, uzivatel1 práva na adresáři /home/skupina1/uzivatel1 změnit nemůže, protože není jeho vlastníkem. Práva souborů v tomto adresáři jsou z hlediska ostatních uživatelů lhostejná. Pokud se třeba uzivatel2 nedostane do /home/skupina1/uzivatel1 tak už na právech podřízených souborů nezáleží (práva se vyhodnocují od kořene filesystému a na každém adresáři v cestě musí být pro přístup alespoň --x.

Ještě jedno doporučení - místo obecné skupiny root u těchto adresářů používejte raději nogroup. Pokud bude nastaven setgid bit na adresáři (což se často hodí), tak se skupina root zdědí na vytvořené soubory. A pokud by ty soubory náhodou mohl někdo spustit (uživatel tam dá nějaký binární soubor s programem), tak poběží pod skupinou root, což je bezpečnostní problém.

Ještě se podívejte na default acl. Těmi se nastavují ACL na souborech a adresářich vytvořených v adresáři, kterému tyto def. ACL dáte. To co máte v tom výpisu nahoře, se vztahuje jen na daný adresář a vytvořené soubory budou mít práva podle create mask v Sambě.
24.8.2008 00:22 jnovacek | skóre: 22 | blog: NovLin
Rozbalit Rozbalit vše Re: samba a mapování
default jsem nekopíroval, ale jinak je mám nastavené takto:
default:user::rwx
default:user:uzivatel1:rwx
default:group::r-x
default:mask::rwx
default:other::---
24.8.2008 22:07 jnovacek | skóre: 22 | blog: NovLin
Rozbalit Rozbalit vše Re: samba a mapování
Tak ještě jednou. Mám vytvořené uživatelské adresáře. Uživatel si v nich může dělat co chce, ale nikomu jinému je nedokáže vysdílet. Mám jiné uživatele (učitele), kteří tyto adresáře vídí, nebo tam mohou i zapisovat (někteří) a student si s tím opět může dělat co chce. To co vytvoří student, tak se mu počítá do kvóty. To je pro mně ideální stav i z toho pohledu, že úplně stejně to funguje jak z Windows tak z Linuxu.
Potřebuji však udělat ještě jednu věc. Každá skupina (třída) má společný adresář do kterého však nemohou zapisovat. Učitelé do tohoto adresáře zapisovat mohou. To mám nastavené. Proklikáním ze začátku větvení skupin se na něj i dostanou. Na Novellu jsem mněl nastaveno, že se tento adresář mapoval studentům jako disk P: . To samé chci udělat tady. Představoval jsem si, že pro každou třídu vygeneruji malinký smd.conf pojmenovaný třeba epa2 (jméno třídy) a každému uživateli vygeneruji link na tento soubor - link jsem chtěl pojmenovat jménem uživatele. Jenže ouha, ono to nefungovalo a tak jsem začal hledat a zjistil jsem, že nejde použít v include %u.
Jak se dá toto vyřešit. Jak mohu v závislosti na přihlašovaném uživateli modifikovat sdílení. Napadá mně napsat si program který strčím do logon.bat a on to z něčeho vytáhne a namapuje, ale musí přece existovat něco jednoduššího.
Ještě mně pak napadá, že každému uživateli vygeneruji do jeho adresáře malinký bat v kterém bude příslušné mapování nebo odkaz na soubor s příslušným mapováním a ten bat budu spouštět z logon.bat. Ale jak jsem již psal musí přece existovat něco jednoduššího na straně samby.
Předem děkuji
25.8.2008 08:05 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: samba a mapování
Obecně se tyhle problémy řeší tak, že %u, %U, %g nebo %G použijete v cestě nějakého sdílení. Tj. třeba budete mít sdílení [skripty], v jeho cestě použijete %u – tím pádem se každému uživateli namapuje jiný adresář, a tam už si můžete dělat, co chcete. Můžete tam mít vygenerované různé soubory, odkazy atd.

Konkrétně to, co chcete udělat, můžete zařídit např. tak, že vytvoříte sdílení [trida], ve kterém bude cesta třeba /home/%u/trida/. Každému studentovi pak vygenerujete do jeho domácího adresáře odkaz na adresář třídy.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.