samba


Предыдущая | Следующая

Вводится пароль для самбы, пароль для самбы может отличаться от системного пароля.

Для того чтобы удалить пользователя из самбы

1

smbpasswd -x user

 

Минимальная конфигурация глобальных настроек

1

2

3

4

5

6

7

8

9

10

11

[global]

 

workgroup = OTD

 

guest ok = yes

 

log file = /var/log/log.%m

 

guestaccount = nobody

 

security = share, user, user + map to guest = bad user

 

Аутентификация на сервере Samba

(Security) =

1-Полный доступ (share) = всем пользователям доступны все ресурсы (в этом режиме аутентификация не работает, если указывать пользователей для директорий, то зайти на ресурс будет невозможно)

2-Ограниченный доступ (user) = только пользователям, которые зарегистрированные в системе и в samba, спрашивает пароль при подключению к серверу, далее пользователь может пользоваться всеми папками, где прописано его имя без повторного ввода пароля, а так же всеми открытыми ресурсами.

3- Гостевой (user + добавляется параметр maptoguest = baduser) = на сервер могут заходить не зарегистрированные пользователи и пользовать открытыми ресурсами, с правами пользователя nobody.К закрытым папкам доступ по паролю (после первого ввода пароля к остальным папкам где есть доступ для пользователя, повторно вводить пароль не нужно, если необходимо в данной сессии зайти в директорию под другим именем, необходимо сбросить подключение. Если подключение к samba  серверу осуществляется с ОС Windows, то для сброса соединения необходимо выполнить команду  в cmd   – 

1

netuse * /del

При любой аутентификации пользователь будет видеть все директории не зависимо есть у него к ним доступ или нет.

Скрыть ресурс для всех (чтобы не удалять) (browseable ) = no

Добавления ресурсов на сервер

Очень важно чтобы созданная директория была с полным правами, иначе права на запись не будет работать вообще ни при одной настройке

1.Полный доступ для всех , без ограничений

 

1

2

3

4

5

6

7

8

9

[имя_директории]

 

Путь (path) =  полный путь к директории

 

Режимчтения (read only) = no

 

Права на созданный файл (createmask) = 0755

 

Права на созданную директорию (directorymask) = 0755

 

2.Только чтение

 

1

2

3

4

5

[имя_директории]

 

Путь (path) =  полный путь к директории

 

Режимчтения (readonly) = no

 

3.Полный доступ только для определенных пользователей

 

1

2

3

4

5

6

7

8

9

10

11

[имя_директории]

 

Путь (path) =  полный путь к директории

 

Режимчтения (readonly) = yes

 

Права на созданный файл (createmask) = 0755

 

Права на созданную директорию (directorymask) = 0755

 

Доступ следующим пользователям (validusers)= список пользователей

 

4.Доступ на чтение и только определенным пользователям

 

1

2

3

4

5

6

7

<span style="color: #888888;">[ имя_директории]

 

Путь (path) =  полный путь к директории

 

Режимчтения (readonly) = no

 

Доступ следующим пользователям (validusers)=список пользователей</span>

 

5.Полный доступ для всех, кроме определенных пользователей

(Данный режим работает  только в режиме Security = user без maptoguest = baduser)

1

2

3

4

5

6

7

8

9

10

11

[ имя_директории]

 

Путь (path) =  полный путь к директории

 

Режимчтения (readonly) = yes

 

Права на созданный файл (createmask) = 0755

 

Права на созданную директорию (directorymask) = 0755

 

Доступзапрещен следующим пользователям (invalidusers)

 

6.Доступ на запись и чтение для user1 , и доступ на чтение для user2

 

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

[ имя_директории]

 

Путь (path) =  полный путь к директории

 

Режимчтения (readonly) = yes

 

valid users = user1, user2

 

write list = user1

 

read only = yes

 

Права на созданный файл (createmask) = 0755

 

Права на созданную директорию (directorymask) = 0755

 

P.S.:

Если подключение к серверу в ОС Windows совершает пользователь с таким же именем и паролем, что и на сервере самба, то пароль для доступа не запрашивается .

---

командой smbstatus вижу что ко мне подключены пользователи с различными PID и ими открыты всякие файлы на моем компе. Какой командой можно отключить конкретного пользователя и закрыть открытые им файлы?

smbcontrol <ID процесса> shutdown

 

---

Примеры ограничения доступа пользователям в Samba
Разрешение доступа к разделу только из определенной подсети:
Для нужного имени share-секции smb.conf добавляем:

   [share]
     hosts allow = 192.168.2. 127.0.0.1
     hosts deny  = ALL

Разрешение доступа по именам пользователей или группам:

   [share]
     valid users = user1 user2 @group1 @group2

Делегирование прав на запись только заданным пользователям, остальным доступ только для чтения:

   [share]
     read only = yes
     write list = user1 user2 @group1 @group2

Пример, доступ только на чтение к разделу [sales] всем, кроме пользователей tom
и jerry, имеющих возможность записи:

   [sales]
     comment = All Printers
     path = /nas/fs/sales
     read only = yes
     write list = tom jerry

Для более надежной защиты рекомендуется ограничить доступ к smbd (139 порт)
через пакетный фильтр, разрешив обращение только с адресов локальной сети.
 
22.10.2009 , Источник: http://www.cyberciti.biz/faq/samba-...

Ключи: samba, acl, limit

Раздел:    Корень / Администратору / Сетевые сервисы / Samba


Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.2, Алексей, 15:15, 23/10/2009 [ответить] [смотреть все]
+/–
Спасибо автору. Простые и понятные примеры.
Самое нужное.
 
  • 1.3, Victor, 18:25, 23/10/2009 [ответить] [смотреть все]
+/–
О_О В дефолтном smb.conf все нормально же описано.
 
  • 1.6, Serg11, 21:56, 23/10/2009 [ответить] [смотреть все]
+/–
хорошо, но мало ...
А вот еще задачка:
в одном ресурсе у каждого пользователя есть свой каталог, в который только он может записывать, а остальные читать, а некоторые каталоги для отдельных пользователей не доступны полностью. Только средствами samba такое возможно?
 
 
 
  • 2.8, serg, 23:41, 23/10/2009 [^] [ответить] [смотреть все]
+/–
в самбе использовать
force users и force groups а так же create mask и create folder

на уровне файловой системы
chown -R user:samba-users folder
chmod -R 0755 folder

результат
1. пишет владелец
2. остальные читают
3. все что создается создается будет с правильными правами

 
 
  • 3.9, Serg11, 00:11, 24/10/2009 [^] [ответить] [смотреть все]
+/–
спасибо
 
  • 1.7, wertik, 22:04, 23/10/2009 [ответить] [смотреть все]  
+/–
Я конечно все понимаю . Но уважаемые модераторы. Зачем удалять мои посты?.

Или мы каждую неделю юудем бонятить об одном и том же.

 
  • 1.10, BartMan, 09:19, 24/10/2009 [ответить] [смотреть все]  
+/–
А ещё круто выставлять нулевой бит в единицу и можно будет писать, дополнять файлы, но не удалять...
 
  • 1.12, PavelR, 19:06, 24/10/2009 [ответить] [смотреть все]  
+/–
>Разрешение доступа к разделу только из определенной подсети:
>Для нужного имени share-секции smb.conf добавляем:
>
>   [share]
>     hosts allow = 192.168.2. 127.0.0.1

Я думаю автор заметки будет неприятно удивлен тем, что для того чтобы все остальные хосты были запрещены требуется явное указание "hosts deny = ALL".
Лично я уже наступил на эти грабли, сильно удивившись доступу к файловому серверу с хоста, не прописанного в "hosts allow".

 
  • 1.13, Sokol, 23:33, 24/10/2009 [ответить] [смотреть все]  
+/–
Я пользую ACL совместо с Samba правами. Гораздо более гибко, особенн опри большом кол-ве юзеров, от 500.
 
  • 1.14, denel, 02:32, 25/10/2009 [ответить] [смотреть все]  
+/–
> Для более надежной защиты рекомендуется ограничить доступ к smbd (139 порт)
> через пакетный фильтр, разрешив обращение только с адресов локальной сети.

Ага, а еще правильнее не искушать лукавого и прописать в общих настройках
interfaces = ethX XXX.XXX.XXX.XXX/X

 
 
  • 2.16, devzero, 22:04, 29/10/2009 [^] [ответить] [смотреть все]  
+/–
без bind interfaces only = yes пользы не столь много.
 
  • 1.15, pavlinux, 19:08, 25/10/2009 [ответить] [смотреть все]  
+/–
[global]

 

 
  • 1.17, Макс, 22:34, 26/09/2010 [ответить] [смотреть все]  
+/–
У кого работает ? У меня нет

[share]
read only = yes
write list = user1 user2 @group1 @group2

 
 
  • 2.18, Макс, 22:57, 26/09/2010 [^] [ответить] [смотреть все]  
+/–
Разобрался . работает в режиме security = user
 
  • 1.19, Влад, 10:56, 02/03/2012 [ответить] [смотреть все]  
+/–
Спасибо, огромное, для начинающего просто супер, помогло!