3.7.3. Estabelecimento de ACLs estendidas em uma ação Samba que usa ACLs POSIX
Se o sistema de arquivos do diretório compartilhado for armazenado em suportes ACLs estendidos, você pode usá-los para definir permissões complexas. As ACLs estendidas podem conter permissões para múltiplos usuários e grupos.
As ACLs POSIX estendidas permitem configurar ACLs complexas com vários usuários e grupos. Entretanto, você só pode definir as seguintes permissões:
- Nenhum acesso
- Acesso de leitura
- Acesso por escrito
- Controle total
Se você precisar das permissões granulares finas do Windows, tais como Create folder / append data
, configure o compartilhamento para usar as ACLs do Windows. Veja Seção 3.9, “Configurando uma ação que usa Windows ACLs”.
O procedimento a seguir mostra como ativar ACLs estendidas em uma ação. Além disso, ele contém um exemplo sobre a configuração de ACLs estendidas.
Pré-requisitos
- O Samba share no qual você quer definir as ACLs existe.
Procedimento
Habilite o seguinte parâmetro na seção de ações no arquivo
/etc/samba/smb.conf
para habilitar a herança de ACLs estendidas:inherit acls = sim
Para detalhes, consulte a descrição dos parâmetros na página de manual
smb.conf(5
).Reinicie o serviço
smb
:#
systemctl restart smb
Coloque as ACLs no diretório. Por exemplo:
Exemplo 3.2. Configuração de ACLs estendidas
O seguinte procedimento estabelece permissões de leitura, escrita e execução para o grupo
Domain Admins
, ler e executar permissões para o grupoDomain Users
, e negar acesso a todos os outros no diretório/srv/samba/example/
:Desativar a concessão automática de permissões para o grupo primário de contas de usuário:
#
setfacl -m group::--- /srv/samba/example/
#setfacl -m default:group::--- /srv/samba/example/
O grupo principal do diretório é mapeado adicionalmente à dinâmica
CREATOR GROUP
principal. Quando você usa POSIX ACLs estendidos em uma ação Samba, este principal é automaticamente adicionado e você não pode removê-lo.Defina as permissões no diretório:
Conceder permissões de leitura, escrita e execução para o grupo
Domain Admins
:#
setfacl -m group:"DOMAIN\Domain Admins":rwx /srv/samba/example/
Conceder permissões de leitura e execução ao grupo
Domain Users
:#
setfacl -m group:"DOMAIN\Domain Users":r-x /srv/samba/example/
Definir permissões para a entrada
other
ACL para negar acesso aos usuários que não correspondem às outras entradas ACL:#
setfacl -R -m other::--- /srv/samba/example/
Estas configurações se aplicam somente a este diretório. No Windows, estas ACLs são mapeadas para o modo
This folder only
.Para permitir que as permissões definidas na etapa anterior sejam herdadas por novos objetos do sistema de arquivos criados neste diretório:
#
setfacl -m default:group:"DOMAIN\Domain Admins":rwx /srv/samba/example/
#setfacl -m default:group:"DOMAIN\Domain Users":r-x /srv/samba/example/
#setfacl -m default:other::--- /srv/samba/example/
Com estas configurações, o modo
This folder only
para os comitês está agora definido paraThis folder, subfolders, and files
.
Samba mapeia as permissões definidas no procedimento para as seguintes ACLs do Windows:
Principal Acesse Aplica-se a Domain\Domínios Admins
Controle total
Esta pasta, subpastas e arquivos
Domain Usuários do domínio
Ler & executar
Esta pasta, subpastas e arquivos
Everyone
[a]Nenhum
Esta pasta, subpastas e arquivos
owner (Unix User\owner) [b]
Controle total
Esta pasta somente
primary_group (Unix User\primary_group) [c]
Nenhum
Esta pasta somente
Controle total
Somente subpastas e arquivos
Nenhum
Somente subpastas e arquivos
[a] O Samba mapeia as permissões para este diretor a partir da entradaother
ACL.[b] O Samba mapeia o proprietário do diretório para esta entrada.[c] O Samba mapeia o grupo principal do diretório para esta entrada.[d] Nos novos objetos do sistema de arquivo, o criador herda automaticamente as permissões deste principal.[e] Configurando ou removendo estes princípios das ACLs não suportadas em ações que utilizam as ACLs POSIX.[f] On new file system objects, the creator’s primary group inherits automatically the permissions of this principal.