3.10. Gerenciando ACLs em uma ação SMB usando smbcacls
O utilitário smbcacls
pode listar, definir e excluir ACLs de arquivos e diretórios armazenados em um compartilhamento SMB. Você pode usar smbcacls
para gerenciar ACLs de sistemas de arquivos:
- Em um servidor Samba local ou remoto que usa ACLs avançadas do Windows ou ACLs POSIX
- No Red Hat Enterprise Linux para gerenciar remotamente ACLs em um compartilhamento hospedado no Windows
3.10.1. Entradas de controle de acesso
Cada entrada ACL de um objeto de sistema de arquivo contém entradas de controle de acesso (ACE) no seguinte formato:
security_principal:access_right/inheritance_information/permissions
Exemplo 3.3. Entradas de controle de acesso
Se o grupo AD\Domain Users
tem Modify
permissões que se aplicam a This folder, subfolders, and files
no Windows, a ACL contém o seguinte ACE:
Usuários do domínio: ALLOWED/OI/CI/CHANGE
Um ACE contém as seguintes partes:
- Segurança principal
- O principal responsável pela segurança é o usuário, grupo ou SID ao qual são aplicadas as permissões no ACL.
- Direito de acesso
-
Define se o acesso a um objeto é concedido ou negado. O valor pode ser
ALLOWED
ouDENIED
. - Informações sobre a herança
Existem os seguintes valores:
Tabela 3.1. Configurações de herança Valor Descrição Mapas para OI
Objeto Herdado
Esta pasta e arquivos
CI
Herdeiro do contêiner
Esta pasta e subpastas
IO
Somente Herdar
O ACE não se aplica ao arquivo ou diretório atual
ID
Herdado
O ACE foi herdado do diretório pai
Além disso, os valores podem ser combinados da seguinte forma:
Tabela 3.2. Combinações de configurações de herança Combinações de valores Mapas para a configuração do Windows Applies to
OI|CI
Esta pasta, subpastas e arquivos
OI|CI|IO
Somente subpastas e arquivos
CI|IO
Somente subpastas
OI|IO
Somente arquivos
- Permissões
Este valor pode ser um valor hexadecimal que representa uma ou mais permissões do Windows ou um pseudônimo
smbcacls
:Um valor hexadecimal que representa uma ou mais permissões do Windows.
A tabela seguinte mostra as permissões avançadas do Windows e seu valor correspondente em formato hexadecimal:
Tabela 3.3. Permissões Windows e seu correspondente valor smbcacls em formato hexadecimal Permissões de janelas Valores hexadecimais Controle total
0x001F01FF
Pasta transversal / arquivo de execução
0x00100020
Listar pasta / ler dados
0x00100001
Atributos de leitura
0x00100080
Ler atributos ampliados
0x00100008
Criar arquivos / escrever dados
0x00100002
Criar pastas / anexar dados
0x00100004
Atributos de escrita
0x00100100
Escrever atributos ampliados
0x00100010
Eliminar subpastas e arquivos
0x00100040
Excluir
0x00110000
Permissões de leitura
0x00120000
Mudança de permissões
0x00140000
Assumir a propriedade
0x00180000
As permissões múltiplas podem ser combinadas como um único valor hexadecimal usando a operação bit-wise
OR
. Para detalhes, veja Seção 3.10.3, “Cálculo da máscara ACE”.Um pseudônimo
smbcacls
. A tabela a seguir mostra os pseudônimos disponíveis:Tabela 3.4. Existentes smbcacls aliases e sua correspondente permissão do Windows smbcacls
aliasMapas para Windows permissão R
Leia
READ
Ler & executar
W
Especial:
- Criar arquivos / escrever dados
- Criar pastas / anexar dados
- Atributos de escrita
- Escrever atributos ampliados
- Permissões de leitura
D
Excluir
P
Mudança de permissões
O
Assumir a propriedade
X
Travessia / execução
CHANGE
Modificar
FULL
Controle total
NotaVocê pode combinar pseudônimos de uma única letra quando você define as permissões. Por exemplo, você pode definir
RD
para aplicar a permissão do WindowsRead
eDelete
. Entretanto, você não pode combinar múltiplos pseudônimos de letras não únicas nem combinar pseudônimos e valores hexadecimais.