Tengo un servidor de archivos Samba en ejecución y me preguntaba cómo podría crear varias cuentas de usuario que tengan diferentes permisos. Por ejemplo, en este momento tengo un usuario, smbusr, pero cuando accedo por ssh al recurso compartido, puedo leer, escribir, ejecutar e incluso navegar fuera del directorio samba y hacer cosas en la computadora real. Esto es malo porque quiero poder dar mi IP para que mis amigos/familiares puedan usar el servidor, pero no quiero que puedan hacer cualquier cosa.
Quiero bloquear al usuario en el directorio compartido de samba (y todos los subdirectorios). Eventualmente me gustaría varios perfiles como (smbusr_R, smbusr_RW, smbguest_R, smbguest_RW).
También tengo una segunda pregunta relacionada con esto: ¿SSH es el mejor método para conectarse desde otras máquinas Unix? ¿Qué pasa con la VPN? O simplemente montando así:
mount -t ext3 -o user=username //ipaddr/share /mnt/mountpoint
¿Ese comando de montaje anterior es lo mismo que una VPN? Esto realmente me confunde.
Gracias por la ayuda chicos, avísenme si necesitan ver algún archivo o necesitan más información.
EDITAR: Aquí está mi definición de compartir samba:
[SAMBA]
path = /samba
browseable = yes
guest ok = no
read list = smbusr_RO
write list = smbusr
EDITAR2: Aquí está mi archivo smb.conf completo:
Respuesta1
Sí, Samba puede admitir ACL hoy en día. se necesitan algunas líneas en la sección global y una lista de ACL permitidas y denegadas por acción. Sin embargo, es posible que sea necesario realizar algunos ajustes en los permisos de su sistema de archivos subyacente para admitirlos, ya que los sistemas de archivos ext no realizan ACL de forma predeterminada.
Aquí tienes un tutorial:http://aisalen.wordpress.com/2007/08/10/acls-on-samba/
y una referencia general para el archivo SMB.conf:http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html
Editar: intente cambiar la configuración de su recurso compartido de esta manera. tenga en cuenta que los grupos de SO requieren una '@' al frente, y que la lista de escritura no implica lectura privada, así que coloque ambos grupos en la lista de lectura.
agregue estos a los globales:
invalid users = root
valid users = @smbusers, @smbusers_RO
create mask = 02775
directory mask = 02770
[SAMBA]
comment = Debian File Server With Read Write
invalid users=nobody,nobody
valid users=@smbusr,@smbusr_RO
path = /samba
browseable = yes
guest ok = no
read list = @smbusr,@smbusr_RO
write list = @smbusr
writeable=yes
También ejecute 'sudo testparm -s' para verificar la integridad de su archivo de configuración.
en términos de permisos del sistema de archivos, puede elegir -R que sus archivos sean propiedad de 'root:smbusers', de modo que el permiso de su grupo controle quién puede escribir y su otro permiso pueda controlar quién puede leer (smb se asegurará de que los permisos de lectura sólo se conceden a 'smbusers_RO'). entonces recomiendo usar SetGID para que todas las carpetas nuevas creadas en el recurso compartido sean propiedad de :smbusers y todos sus smbusers tengan acceso a ellas.
chown -R root:smbusers /samba
chmod -R 2775 /samba