ACL a Samba – jak zkoušet

  Tento článek vznikl jako postupně doplňovaná sbírka poznámek, při nasazování ACL a dalších windowsových práv na Samba serveru bez Kerberosu a LDAP a většinou na Windows XP/10. Většinu věcí je dobré si uvědomit dříve než se na samotné nastavení vrhnete. Na Google naleznete mnoho rad a nastavení  a přesto vše stále zlobí a nefunguje tak jak má. Nejsou zde tedy konfigurace a přesné popisy termínů a podobné návody. Každý systém i verze jsou rozdílné a především požadavky a potřeby klientů se výrazně liší.

 
 

  • Musí fungovat mapování uživatelů se služba winbind.
    • Pro práci s winbind slouží na unixu wbinfo
  • Systém a souborový systém musí ACL podporovat a musí být podpora zapnutá.
    • V Unixu lze testovat pomocí setfacl a getfacl.
    • Vždy se vyhodnotí nejhorší práva, kterou může uživatel získat.
  • Po každém restartu Samby je vhodné restartovat klienty, někdy stačí i odhlásit, někdy pomůže restart. Windows obvykle toto vše kušují a odmítají to zapomenout.
  • Samba běží jako služba, takže na konci se vždy berou systémová práva  k souboru a adresáři (rwx).
  • Část direktiv Samby platí na unixová práva a část pro ACL.
  • Některá nastavení jsou globální jiná lze modifikovat lokálně
    • Lokální mají přednost.
  • Některé direktivy Samby mají platnost vždy a zastaví zpracování dalších pravidel  (valid user).

    Tyto direktivy je potřeba vhodným způsobem zapnout případně vypnout.

    • pro dědění ovrávnění a vlastníka souboru:

      inherit permissions = yes

      inherit acls = yes

      inherit owner = yes

      map acl inherit = yes

      nt acl support = yes

      ea support = yes

      profile acls = yes

      store dos attributes = yes

  • Zapnutí symbolických linků mimo adresáře Samby mění nastavení práv a vlastníků. Po změně Linků je tedy potřeba znovu vše otestovat.
    • Zapnutí linků mimo strukturu lze těmito direktivami:

      unix extensions = no

      wide links = yes

      follow symlinks = yes

  • Symbolické linky mají všechna práva a vlastníkem je uživatel root, ale na konci se vyhodnotí pravidla podle vlastníka a práv umístění kam je odkazováno.
  • Dědění lze nastavovat na Sambě a také ve Windows.
  • Zkontrolujte si veškerá nastavení která lze měnit ve Windows (dedění, ….) a podívejte se jak se změní práva na Sambě.