Я с трудом пытаюсь понять, как Samba может наложить ограничение на папку, для которой не установлено свойство "Действительный пользователь"

вот мой smb.conf

[test-share]
    comment = test shared folder.
    path = /home/root/test-shared
    browseable = Yes
    read only = No
    force create mode = 0660
    force directory mode = 0660
    vfs objects = acl_xattr full_audit
    acl_xattr:ignore system acls = no
    full_audit:success = connect opendir disconnect unlink mkdir rmdir open rename
    full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename

Не определен действительный пользователь, и все еще выполняется некоторая проверка прав

1 ответ1

0

Одна вещь, которая не сразу бросается в глаза большинству новых администраторов samba/SMB, заключается в том, что стек разрешений общего доступа поверх разрешений на диске. Разрешения общего ресурса влияют только на доступ к Samba/WFPS; они не переопределяют разрешения для общего каталога, а только увеличивают их.

Таким образом, если папка принадлежит user1:user1 и имеет разрешения 770, а затем совместно используется, чтобы предоставить всем пользователям доступ для чтения / записи, только учетная запись user1 фактически сможет получить доступ к содержимому общего ресурса.

Таким образом, мораль заключается в том, что разрешения Share могут использоваться для ограничения доступа к контенту (путем ограничения удаленных пользователей, имеющих разрешения для каталога), но они никогда не смогут расширить доступ для предоставления доступа, который не указан в разрешениях папки.

Примечательно, что Microsoft рекомендует, чтобы, когда это возможно, разрешения для общего ресурса состояли из единого гранта «Все, полный доступ». Это связано с тем, что при резервном копировании диска его разрешения также резервируются, но его разрешения для общего ресурса не являются частью самой файловой системы диска и не копируются, поэтому восстановление данных может привести к чрезмерной привилегии пользователей, если на самом деле разрешения для общего ресурса используется для узкого доступа. Однако установка разрешений для каталога ограничивает возможности пользователей как локальных, так и удаленных, независимо от того, как настроен общий ресурс.

надеюсь, это поможет

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .