3.7.3. Configuración de ACLs extendidas en un recurso compartido de Samba que utiliza ACLs POSIX
Si el sistema de archivos en el que se almacena el directorio compartido soporta ACLs extendidas, puede utilizarlas para establecer permisos complejos. Las ACLs extendidas pueden contener permisos para múltiples usuarios y grupos.
Las ACLs POSIX extendidas permiten configurar ACLs complejas con múltiples usuarios y grupos. Sin embargo, sólo puede establecer los siguientes permisos:
- No hay acceso
- Leer el acceso
- Acceso de escritura
- Control total
Si necesita los permisos finos de Windows, como Create folder / append data
, configure el recurso compartido para utilizar las ACL de Windows. Consulte Sección 3.9, “Configuración de un recurso compartido que utiliza las ACL de Windows”.
El siguiente procedimiento muestra cómo habilitar las ACL extendidas en un recurso compartido. Además, contiene un ejemplo sobre la configuración de ACL extendidas.
Requisitos previos
- El recurso compartido de Samba en el que desea establecer las ACL existe.
Procedimiento
Habilite el siguiente parámetro en la sección del recurso compartido en el archivo
/etc/samba/smb.conf
para habilitar la herencia de ACLs extendidas:heredar acls = si
Para más detalles, consulte la descripción del parámetro en la página de manual
smb.conf(5
).Reinicie el servicio
smb
:#
systemctl restart smb
Establezca las ACL en el directorio. Por ejemplo:
Ejemplo 3.2. Configuración de ACLs extendidas
El siguiente procedimiento establece permisos de lectura, escritura y ejecución para el grupo
Domain Admins
, permisos de lectura y ejecución para el grupoDomain Users
y deniega el acceso a todos los demás en el directorio/srv/samba/example/
:Desactivar la concesión automática de permisos al grupo principal de cuentas de usuario:
#
setfacl -m group::--- /srv/samba/example/
#setfacl -m default:group::--- /srv/samba/example/
El grupo primario del directorio se asigna adicionalmente a la entidad de seguridad dinámica
CREATOR GROUP
. Cuando se utilizan ACLs POSIX extendidas en un recurso compartido de Samba, esta entidad de seguridad se añade automáticamente y no se puede eliminar.Establezca los permisos del directorio:
Conceda permisos de lectura, escritura y ejecución al grupo
Domain Admins
:#
setfacl -m group:"DOMAIN\Domain Admins":rwx /srv/samba/example/
Concede permisos de lectura y ejecución al grupo
Domain Users
:#
setfacl -m group:"DOMAIN\Domain Users":r-x /srv/samba/example/
Establezca los permisos de la entrada ACL
other
para denegar el acceso a los usuarios que no coincidan con las demás entradas ACL:#
setfacl -R -m other::--- /srv/samba/example/
Estos ajustes se aplican sólo a este directorio. En Windows, estas ACL se asignan al modo
This folder only
.Para permitir que los permisos establecidos en el paso anterior sean heredados por los nuevos objetos del sistema de archivos creados en este directorio:
#
setfacl -m default:group:"DOMAIN\Domain Admins":rwx /srv/samba/example/
#setfacl -m default:group:"DOMAIN\Domain Users":r-x /srv/samba/example/
#setfacl -m default:other::--- /srv/samba/example/
Con estos ajustes, el modo
This folder only
para los directores está ahora establecido enThis folder, subfolders, and files
.
Samba asigna los permisos establecidos en el procedimiento a las siguientes ACL de Windows:
Principal Acceda a Se aplica a Domain\N - Administradores de dominio
Control total
Esta carpeta, subcarpetas y archivos
Domain\N - Usuarios del dominio
Leer & ejecutar
Esta carpeta, subcarpetas y archivos
Everyone
[a]Ninguno
Esta carpeta, subcarpetas y archivos
owner (Unix User\owner) [b]
Control total
Esta carpeta sólo
primary_group (Unix User\primary_group) [c]
Ninguno
Esta carpeta sólo
Control total
Sólo subcarpetas y archivos
Ninguno
Sólo subcarpetas y archivos
[a] Samba asigna los permisos para esta entidad de seguridad desde la entrada ACL deother
.[b] Samba asigna el propietario del directorio a esta entrada.[c] Samba asigna el grupo primario del directorio a esta entrada.[d] En los nuevos objetos del sistema de archivos, el creador hereda automáticamente los permisos de este principal.[e] La configuración o la eliminación de estas entidades de seguridad de las ACL no es compatible con los recursos compartidos que utilizan ACL POSIX.[f] En los nuevos objetos del sistema de archivos, el grupo principal del creador hereda automáticamente los permisos de este principal.