[opensuse-es] Cada vez que un usuario crea o copia informacion, debo correr chmod -R... como puedo evitarlo...?
Sres. tengo un servidor con SLES 10 como servidor de archivos y funcionando como PDC. Me pasa que cada vez que un usuario crea o copia información en la carpeta proyectos (que es común para todos los usuarios) debo darles acceso "chmod -R..." Cómo puedo solucionar que cada vez que alguien copie o cree información nueva ya quede con aaceso para todos...? Gracias. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2009-07-01 a las 12:41 -0400, Aquiles Palacios A. escribió:
Sres. tengo un servidor con SLES 10 como servidor de archivos y funcionando como PDC. Me pasa que cada vez que un usuario crea o copia información en la carpeta proyectos (que es común para todos los usuarios) debo darles acceso "chmod -R..."
Cómo puedo solucionar que cada vez que alguien copie o cree información nueva ya quede con aaceso para todos...?
¿Qué opciones para la creación de archivos y directorios (create mask y directoy mask) has definido ese recurso en /etc/samba/smb.conf? También podrías usar el acls, aunque con esto nunca me he aclarado... *** inherit acls = yes inherit permissions = yes *** Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
No tengo incluido create mask ni tampoco directoy mask, si agrego esto
al archivo.conf se solucionará...?
Gracias,
El 1 de julio de 2009 13:00, Camaleón
El 2009-07-01 a las 12:41 -0400, Aquiles Palacios A. escribió:
Sres. tengo un servidor con SLES 10 como servidor de archivos y funcionando como PDC. Me pasa que cada vez que un usuario crea o copia información en la carpeta proyectos (que es común para todos los usuarios) debo darles acceso "chmod -R..."
Cómo puedo solucionar que cada vez que alguien copie o cree información nueva ya quede con aaceso para todos...?
¿Qué opciones para la creación de archivos y directorios (create mask y directoy mask) has definido ese recurso en /etc/samba/smb.conf?
También podrías usar el acls, aunque con esto nunca me he aclarado...
*** inherit acls = yes inherit permissions = yes ***
Saludos,
-- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2009-07-01 a las 13:54 -0400, Aquiles Palacios A. escribió:
No tengo incluido create mask ni tampoco directoy mask, si agrego esto al archivo.conf se solucionará...?
Te pongo tal y como lo tengo yo, en un servidor samba con suse 10.3 actuando como grupo de trabajo (workgroup). [recurso_compartido] comment = Intercambio path = /data3/intercambio read only = no write users = usuario1, usuario2, usuario3 create mask = 0775 directory mask = 0775 Con esto el resultado que obtengo es el siguiente. Los usuarios autentificados tienen control total bajo /intercambio (pueden crear y eliminar directorios y archivos). Es una especie de "almacén comunal". - Los directorios se crean con propietario "nombre_usuario/users" y con permisos 775 - Los archivos se crean con propietario "nombre_usuario/users" y con permisos 764 (hum... esto tengo que revisarlo :-?) Puedes ajustar esto según tus necesidades. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Funcionó a la perfección, muchas gracias...
El 1 de julio de 2009 14:34, Camaleón
El 2009-07-01 a las 13:54 -0400, Aquiles Palacios A. escribió:
No tengo incluido create mask ni tampoco directoy mask, si agrego esto al archivo.conf se solucionará...?
Te pongo tal y como lo tengo yo, en un servidor samba con suse 10.3 actuando como grupo de trabajo (workgroup).
[recurso_compartido] comment = Intercambio path = /data3/intercambio read only = no write users = usuario1, usuario2, usuario3 create mask = 0775 directory mask = 0775
Con esto el resultado que obtengo es el siguiente. Los usuarios autentificados tienen control total bajo /intercambio (pueden crear y eliminar directorios y archivos). Es una especie de "almacén comunal".
- Los directorios se crean con propietario "nombre_usuario/users" y con permisos 775
- Los archivos se crean con propietario "nombre_usuario/users" y con permisos 764 (hum... esto tengo que revisarlo :-?)
Puedes ajustar esto según tus necesidades.
Saludos,
-- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Hola. On Miércoles, 1 de Julio de 2009 18:41:57 Aquiles Palacios A. escribió:
Sres. tengo un servidor con SLES 10 como servidor de archivos y funcionando como PDC. Me pasa que cada vez que un usuario crea o copia información en la carpeta proyectos (que es común para todos los usuarios) debo darles acceso "chmod -R..."
Cómo puedo solucionar que cada vez que alguien copie o cree información nueva ya quede con aaceso para todos...?
yo lo que hago es poner permisos en las carpetas a nivel de grupo, usando acls y poner el grupo como sticky no permito a los usuarios fijar permisos salvo, todos los permisos van por funciones, creo grupos por funciones, y asigno los grupos a cada usuario, como grupo principal el de su funcion de mayor jerarquia te pongo aqui un extracto de un documento que cree como guia para implementar esto **************************************************************************** Estructura de Carpetas La estructura sera la siguiente: Ruta Funcion /public Documentos y Aplicaciones Empresa /public/Aplicaciones Aplicaciones Empresa /public/Documentos/ Documentos Empresa /public/Documentos/Contabilidad Departamentos /public/Documentos/Informatica /public/Documentos/.................. Dentro de la carpeta de cada departamento, este tendra total autonomia, aunque nos podra pedir implementar seguridad por funciones a un nivel inferior. En este caso, segiruiamos la misma operativa, cambiariamos los permisos de la carpeta de nivel superior para que las funciones de mas bajo nivel solo tuvieran capacidad de recorrido, y el grupo de mayor nivel sea el que puede crear estructura. Para las subcarpetas por funciones, aplicariamos el mismo criterio que aplicamos en las carpetas departamentales. Permisos de /public # file: public # owner: root # group: root user::rwx group::r-x other::r-x (permisos por defecto de puntos de montaje en el raiz, y sin uso de acl) permisos de /public/Aplicaciones drwxrws--- Aplicaciones (fijaros que tiene el grupo con set group id, herencia de permisos) # file: Aplicaciones # owner: root # group: admin user::rwx group::rwx other::--- Permisos de /public/Documentos drwxrws---+ Documentos # file: Documentos # owner: nobody # group: nobody user::rwx group::--- group:users:r-x group:Informatica:rwx mask::rwx other::--- default:user::--- default:user:Informatica:rwx default:group::--- default:mask::rwx default:other::--- permisos de las Carpetas de Departamentos /public/Documentos/Carpeta drwxrws---+ Carpeta # file: Carpeta # owner: nobody # group: Departamento user::rwx group::rwx group:users:--x group:Informatica:rwx mask::rwx other::--- default:user::rwx default:group::rwx default:group:users:--x default:group:Informatica:rwx default:mask::rwx default:other::--- donde Carpeta es el nombre de la carpeta y departamento es el nombre del departamento Para fijar los permisos de las carpetas se procede como sigue: se crea como administrador la carpeta con el comando mkdir Carpeta se fijan los propietarios y permisos con los comandos siguientes. chrown nobody.Departamento Carpeta chmod u:+rwx Carpeta chmod g:+rwxs Carpeta chmod o:-rwx Carpeta setfacl -m group::rwx Carpeta setfacl -m default:group::rwx Carpeta setfacl -m user::rwx Carpeta setfacl -m default:user::rwx Carpeta setfacl -m group:users:--x Carpeta setfacl -m default:group:users:--x Carpeta setfacl -m group:Informatica:rwx Carpeta setfacl -m default:group:rwx Informatica Carpeta Se puede utilizar en todos estos comandos el flag -R patra hacerlo recursivo PRECAUCIONES: No usar en la carpeta Documentos directamente, solo en sus subcarpetas, ya que sino nos cargamos todos los permisos. No usar en ninguna carpeta fuera de la jerarquia de /public/Documentos ****************************************************************** ademas de esto, puedes añadir mas grupos (funciones) a una carpeta de manera similar a como añadimos el grupo Informatica o el users, pero con los permisos adecuados. Tambien puedes usar enlaces simbolicos a documentos para permisos de acceso especificos a un fichero en concreto dentro de una carpeta que sea inaccesible para el usuario, por ejemplo. tienes una carpeta A en la que el usuario tiene acceso, y una carpeta B en la que el usuario no puede acceder, pero quieres que acceda a un documento o subcarpeta especifica dentro de esta. creas en A un enlace simbolico al documento o carpeta, y le das acceso ademas al usuario al documento o carpeta en concreto, y el usuario podra acceder via el enlace simbolico, y para el es transparente, es como si el fichero o carpeta estuvieran realmente bajo la carpeta A, el windows ni se entera que es un enlace simbolico. por ultimo. consejo. maneja solo los permisos desde linux. Suerte -- Un saludo. Carlos Lorenzo Matés clmates AT mundo-r.com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Impresionante, de verdad. Me parece muy buena tu idea para implementar la seguridad en Samba con las ACLs ... Deberías publicarlo como un HOWTO o Cómo en la wiki de OpenSuSE ( si no lo has hecho ya, claro ). Saludos.
yo lo que hago es poner permisos en las carpetas a nivel de grupo, usando acls y poner el grupo como sticky
no permito a los usuarios fijar permisos salvo, todos los permisos van por funciones, creo grupos por funciones, y asigno los grupos a cada usuario, como grupo principal el de su funcion de mayor jerarquia
te pongo aqui un extracto de un documento que cree como guia para implementar esto
****************************************************************************
Estructura de Carpetas
La estructura sera la siguiente:
Ruta Funcion /public Documentos y Aplicaciones Empresa /public/Aplicaciones Aplicaciones Empresa /public/Documentos/ Documentos Empresa /public/Documentos/Contabilidad Departamentos /public/Documentos/Informatica /public/Documentos/..................
Dentro de la carpeta de cada departamento, este tendra total autonomia, aunque nos podra pedir implementar seguridad por funciones a un nivel inferior. En este caso, segiruiamos la misma operativa, cambiariamos los permisos de la carpeta de nivel superior para que las funciones de mas bajo nivel solo tuvieran capacidad de recorrido, y el grupo de mayor nivel sea el que puede crear estructura. Para las subcarpetas por funciones, aplicariamos el mismo criterio que aplicamos en las carpetas departamentales.
Permisos de /public
# file: public # owner: root # group: root user::rwx group::r-x other::r-x
(permisos por defecto de puntos de montaje en el raiz, y sin uso de acl)
permisos de /public/Aplicaciones
drwxrws--- Aplicaciones (fijaros que tiene el grupo con set group id, herencia de permisos)
# file: Aplicaciones # owner: root # group: admin user::rwx group::rwx other::---
Permisos de /public/Documentos
drwxrws---+ Documentos
# file: Documentos # owner: nobody # group: nobody user::rwx group::--- group:users:r-x group:Informatica:rwx mask::rwx other::--- default:user::--- default:user:Informatica:rwx default:group::--- default:mask::rwx default:other::---
permisos de las Carpetas de Departamentos /public/Documentos/Carpeta
drwxrws---+ Carpeta
# file: Carpeta # owner: nobody # group: Departamento user::rwx group::rwx group:users:--x group:Informatica:rwx mask::rwx other::--- default:user::rwx default:group::rwx default:group:users:--x default:group:Informatica:rwx default:mask::rwx default:other::---
donde Carpeta es el nombre de la carpeta y departamento es el nombre del departamento
Para fijar los permisos de las carpetas se procede como sigue:
se crea como administrador la carpeta con el comando mkdir Carpeta se fijan los propietarios y permisos con los comandos siguientes.
chrown nobody.Departamento Carpeta chmod u:+rwx Carpeta chmod g:+rwxs Carpeta chmod o:-rwx Carpeta setfacl -m group::rwx Carpeta setfacl -m default:group::rwx Carpeta setfacl -m user::rwx Carpeta setfacl -m default:user::rwx Carpeta setfacl -m group:users:--x Carpeta setfacl -m default:group:users:--x Carpeta setfacl -m group:Informatica:rwx Carpeta setfacl -m default:group:rwx Informatica Carpeta
Se puede utilizar en todos estos comandos el flag -R patra hacerlo recursivo
PRECAUCIONES: No usar en la carpeta Documentos directamente, solo en sus subcarpetas, ya que sino nos cargamos todos los permisos. No usar en ninguna carpeta fuera de la jerarquia de /public/Documentos
******************************************************************
ademas de esto, puedes añadir mas grupos (funciones) a una carpeta de manera similar a como añadimos el grupo Informatica o el users, pero con los permisos adecuados. Tambien puedes usar enlaces simbolicos a documentos para permisos de acceso especificos a un fichero en concreto dentro de una carpeta que sea inaccesible para el usuario, por ejemplo.
tienes una carpeta A en la que el usuario tiene acceso, y una carpeta B en la que el usuario no puede acceder, pero quieres que acceda a un documento o subcarpeta especifica dentro de esta.
creas en A un enlace simbolico al documento o carpeta, y le das acceso ademas al usuario al documento o carpeta en concreto, y el usuario podra acceder via el enlace simbolico, y para el es transparente, es como si el fichero o carpeta estuvieran realmente bajo la carpeta A, el windows ni se entera que es un enlace simbolico.
por ultimo. consejo. maneja solo los permisos desde linux.
Suerte
--
Un saludo.
Carlos Lorenzo Matés
clmates AT mundo-r.com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-- ¡AVISO IMPORTANTE! POR FAVOR, CUANDO REENVÍES ESTE CORREO TEN EN CUENTA LOS SIGUIENTES PUNTOS: 1.- Borra la dirección del remitente, así como cualquier otra dirección que aparezca en el cuerpo del mensaje. 2.- Protege las direcciones de los destinatarios colocando las mismas en la línea CCO (CON COPIA OCULTA). Combatir el SPAM es tarea de todos. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Hola. On Viernes, 3 de Julio de 2009 23:32:04 Juan Francisco escribió:
Impresionante, de verdad.
Me parece muy buena tu idea para implementar la seguridad en Samba con las ACLs ... Deberías publicarlo como un HOWTO o Cómo en la wiki de OpenSuSE ( si no lo has hecho ya, claro ).
Gracias, la verdad es que llevamos trabajando asi desde hace varios años, y ni un solo problema, ademas es muy sencillo de administrar una vez que lo tienes montado. En cuanto a lo del wiki, bueno, viendo que no hay nada parecido, me he animado y lo he añadido.... http://en.opensuse.org/Howto_setup_permissions_in_Samba_with_acls pero esta muy cutre, no se ni poner tabulaciones, ni darle un poco de estilo. A ver si alguien con mas control lo pone mas bonito :-D -- Un saludo. Carlos Lorenzo Matés clmates AT mundo-r.com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2009-07-06 a las 21:45 +0200, Carlos Lorenzo Matés escribió:
On Viernes, 3 de Julio de 2009 23:32:04 Juan Francisco escribió:
Impresionante, de verdad.
Me parece muy buena tu idea para implementar la seguridad en Samba con las ACLs ... Deberías publicarlo como un HOWTO o Cómo en la wiki de OpenSuSE ( si no lo has hecho ya, claro ).
Gracias, la verdad es que llevamos trabajando asi desde hace varios años, y ni un solo problema, ademas es muy sencillo de administrar una vez que lo tienes montado.
En cuanto a lo del wiki, bueno, viendo que no hay nada parecido, me he animado y lo he añadido....
Mola :-)
http://en.opensuse.org/Howto_setup_permissions_in_Samba_with_acls
pero esta muy cutre, no se ni poner tabulaciones, ni darle un poco de estilo.
A ver si alguien con mas control lo pone mas bonito :-D
Un par de cosas... - El artículo está en la wiki inglesa (en.opensuse.org) pero lo has escrito en español. Quizá sea conveniente pasarlo a la wiki en español (es.opensuse.org) :-? - El formato. Si sigues el estilo de los artículos de la wiki facilitas su lectura a los usuarios, que están acostumbrados al mismo diseño de cabecera y desarrollo del artículo. Los comandos se podrían diferenciar mediante negritas o usando alguna plantilla de la wiki... Hay otro artículo que también trata de las ACL por lo que podríais "enlazaros" (en el buen sentido :-P): http://en.opensuse.org/How_to_share_directories_between_groups_of_users_usin... Por lo demás, perfecto... nos va a venir muy bien :-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (4)
-
Aquiles Palacios A. -
Camaleón -
Carlos Lorenzo Matés -
Juan Francisco