Impresionante, de verdad. Me parece muy buena tu idea para implementar la seguridad en Samba con las ACLs ... Deberías publicarlo como un HOWTO o Cómo en la wiki de OpenSuSE ( si no lo has hecho ya, claro ). Saludos.
yo lo que hago es poner permisos en las carpetas a nivel de grupo, usando acls y poner el grupo como sticky
no permito a los usuarios fijar permisos salvo, todos los permisos van por funciones, creo grupos por funciones, y asigno los grupos a cada usuario, como grupo principal el de su funcion de mayor jerarquia
te pongo aqui un extracto de un documento que cree como guia para implementar esto
****************************************************************************
Estructura de Carpetas
La estructura sera la siguiente:
Ruta Funcion /public Documentos y Aplicaciones Empresa /public/Aplicaciones Aplicaciones Empresa /public/Documentos/ Documentos Empresa /public/Documentos/Contabilidad Departamentos /public/Documentos/Informatica /public/Documentos/..................
Dentro de la carpeta de cada departamento, este tendra total autonomia, aunque nos podra pedir implementar seguridad por funciones a un nivel inferior. En este caso, segiruiamos la misma operativa, cambiariamos los permisos de la carpeta de nivel superior para que las funciones de mas bajo nivel solo tuvieran capacidad de recorrido, y el grupo de mayor nivel sea el que puede crear estructura. Para las subcarpetas por funciones, aplicariamos el mismo criterio que aplicamos en las carpetas departamentales.
Permisos de /public
# file: public # owner: root # group: root user::rwx group::r-x other::r-x
(permisos por defecto de puntos de montaje en el raiz, y sin uso de acl)
permisos de /public/Aplicaciones
drwxrws--- Aplicaciones (fijaros que tiene el grupo con set group id, herencia de permisos)
# file: Aplicaciones # owner: root # group: admin user::rwx group::rwx other::---
Permisos de /public/Documentos
drwxrws---+ Documentos
# file: Documentos # owner: nobody # group: nobody user::rwx group::--- group:users:r-x group:Informatica:rwx mask::rwx other::--- default:user::--- default:user:Informatica:rwx default:group::--- default:mask::rwx default:other::---
permisos de las Carpetas de Departamentos /public/Documentos/Carpeta
drwxrws---+ Carpeta
# file: Carpeta # owner: nobody # group: Departamento user::rwx group::rwx group:users:--x group:Informatica:rwx mask::rwx other::--- default:user::rwx default:group::rwx default:group:users:--x default:group:Informatica:rwx default:mask::rwx default:other::---
donde Carpeta es el nombre de la carpeta y departamento es el nombre del departamento
Para fijar los permisos de las carpetas se procede como sigue:
se crea como administrador la carpeta con el comando mkdir Carpeta se fijan los propietarios y permisos con los comandos siguientes.
chrown nobody.Departamento Carpeta chmod u:+rwx Carpeta chmod g:+rwxs Carpeta chmod o:-rwx Carpeta setfacl -m group::rwx Carpeta setfacl -m default:group::rwx Carpeta setfacl -m user::rwx Carpeta setfacl -m default:user::rwx Carpeta setfacl -m group:users:--x Carpeta setfacl -m default:group:users:--x Carpeta setfacl -m group:Informatica:rwx Carpeta setfacl -m default:group:rwx Informatica Carpeta
Se puede utilizar en todos estos comandos el flag -R patra hacerlo recursivo
PRECAUCIONES: No usar en la carpeta Documentos directamente, solo en sus subcarpetas, ya que sino nos cargamos todos los permisos. No usar en ninguna carpeta fuera de la jerarquia de /public/Documentos
******************************************************************
ademas de esto, puedes añadir mas grupos (funciones) a una carpeta de manera similar a como añadimos el grupo Informatica o el users, pero con los permisos adecuados. Tambien puedes usar enlaces simbolicos a documentos para permisos de acceso especificos a un fichero en concreto dentro de una carpeta que sea inaccesible para el usuario, por ejemplo.
tienes una carpeta A en la que el usuario tiene acceso, y una carpeta B en la que el usuario no puede acceder, pero quieres que acceda a un documento o subcarpeta especifica dentro de esta.
creas en A un enlace simbolico al documento o carpeta, y le das acceso ademas al usuario al documento o carpeta en concreto, y el usuario podra acceder via el enlace simbolico, y para el es transparente, es como si el fichero o carpeta estuvieran realmente bajo la carpeta A, el windows ni se entera que es un enlace simbolico.
por ultimo. consejo. maneja solo los permisos desde linux.
Suerte
--
Un saludo.
Carlos Lorenzo Matés
clmates AT mundo-r.com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-- ¡AVISO IMPORTANTE! POR FAVOR, CUANDO REENVÍES ESTE CORREO TEN EN CUENTA LOS SIGUIENTES PUNTOS: 1.- Borra la dirección del remitente, así como cualquier otra dirección que aparezca en el cuerpo del mensaje. 2.- Protege las direcciones de los destinatarios colocando las mismas en la línea CCO (CON COPIA OCULTA). Combatir el SPAM es tarea de todos. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org