Servidor Samba - CHMOD e permissões - Duvida!

[zekkerj]

Parece que net group e net user tem essas funcionalidades.
Vou testar.

E parece também que tem várias formas de se fazer a mesma coisa. Ou não?

Sim, bem mais até do que é prudente existir...

[maurov]

Uma confusão:

addgroup é um comando que cria um grupo na máquina, ou seja, mais de um usuário teria os mesmo privilégios para acessar determinado local na máquina.

Mas e no Samba? Para se ter acesso a determinados locais num servidor samba na rede, é necessário pertencer a um grupo do samba. O comando addgroup de novo?

[zekkerj]

Sim, "addgroup" cria o grupo, e adiciona usuários ao grupo.
O samba só controla se o usuário tem acesso ao compartilhamento. Tipo, o trecho

Código: [Selecionar]

[Arquivos]
    path = /media/files/
    valid users = +contabilidade jorge maria
    write list = jorge

Isso vai permitir que qualquer usuário do grupo "contabilidade" acesse o compartilhamento, assim como "jorge" e "maria", independente de qual grupos estes pertençam. Mas apenas "jorge" poderá escrever no compartilhamento.

Só que esse compartilhamento está mapeado em uma pasta do sistema de arquivos ("path = /media/files"). Esta pasta tem suas próprias propriedades e permissões de acesso, que não precisam ser iguais às definidas no Samba --- e esse é o problema mais comum de acesso, quando o Samba dá direitos de acesso no compartilhamento a um usuário ou grupo, mas a pasta mapeada pelo compartilhamento, não.

Assim, por exemplo, se a pasta estiver com essas permissões:

drwxrwxr-x 14 maria contabilidade /media/files

Digamos também que "jorge" não é do grupo "contabilidade". Ele tem acesso de gravação no compartilhamento, mas ao tentar criar arquivos na pasta mapeada, não consegue exercer esse acesso, pois não tem direitos de gravação na pasta (por não ser "maria", e por não ser do grupo "contabilidade").

[maurov]

Ainda nas definições:

O servidor tem por default vários grupos.

Código: [Selecionar]

mauro@server:~$ groups
mauro adm dialout fax cdrom floppy tape sudo audio dip video plugdev netdev fuse lpadmin scanner
Posso criar uma pasta e um grupo contabilidade na máquina hostname server

Código: [Selecionar]

mauro@server:~$ sudo mkdir -p contabilidade
mauro@server:~$ sudo addgroup contabilidade
Depois restart no samba e editar o smb.conf para definir as permissões

Código: [Selecionar]

mauro@server:~$ sudo nano smb.conf
Acho que é por aí, né?

E depois disso, para adicionar maria, usuária de outra máquina, seria por useradd? Este comando não vai criar uma nova pessoa que faça login e tenha sua pasta home no servidor?

[zekkerj]

Sim, vai.

Se vc tem mais de uma máquina e precisa que elas compartilhem o cadastro de usuários, considere usar um sistema de integração, como LDAP ou NIS. O próprio Samba pode oferecer essa integração, trabalhando em modo PDC ou AD, que funciona muito bem quando as outras máquinas são Windows.

[maurov]

Sendo assim o "grupo" existe para para compartilhar acessos entre diferentes usuários de uma mesma máquina. Achei que era relativo ao compartilhamento Samba.

Então qual a melhor opção para uma rede de umas 10 máquinas ter no servidor uma pasta "comercial", por exemplo, que possa ser usada por apenas 6 membros desta rede? LDAP ou NIS?

Dei uma olhada no link abaixo, talvez seja por aí mesmo. Gostaria de ouvir experiências dos colegas.
https://www.vivaolinux.com.br/artigo/Configurando-NFS-+-NIS-%28Ubuntu%29

[zekkerj]

Sendo assim o "grupo" existe para para compartilhar acessos entre diferentes usuários de uma mesma máquina. Achei que era relativo ao compartilhamento Samba.

O conceito de grupo vem do Linux, ele apenas é aproveitado no Samba.

Então qual a melhor opção para uma rede de umas 10 máquinas ter no servidor uma pasta "comercial", por exemplo, que possa ser usada por apenas 6 membros desta rede? LDAP ou NIS?

Depende de qual seja o sistema operacional dessas máquinas.

Dei uma olhada no link abaixo, talvez seja por aí mesmo. Gostaria de ouvir experiências dos colegas.
https://www.vivaolinux.com.br/artigo/Configurando-NFS-+-NIS-%28Ubuntu%29

Eu não recomendo o uso do NIS. Citei apenas por ser uma possibilidade, mas não o recomendo.

[maurov]

Grupo:
Não comprendi como aproveitá-lo no samba se o usuário e ser inserido no grupo tem que estar na mesma máquina. O comando adduser parece criar o user na mesmo máquina, e não abrir para uma remota

Sistema operacional das máquinas:
Atualmente todas Ubuntu. Exterminamos as outras.

NFS-NIS LDAP
Qual o mais tranquilo de se usar?

[zekkerj]

Grupo:
Não comprendi como aproveitá-lo no samba se o usuário e ser inserido no grupo tem que estar na mesma máquina. O comando adduser parece criar o user na mesmo máquina, e não abrir para uma remota

O Samba trabalha no servidor. Todos os usuários são criados e existem no servidor.
Quem acessa o servidor usa suas credenciais e se identifica como um dos usuários, que participa de um ou mais grupos.
Não confunda isso com fazer login na própria máquina.

Sistema operacional das máquinas:
Atualmente todas Ubuntu. Exterminamos as outras.

NFS-NIS LDAP
Qual o mais tranquilo de se usar?

NFS é um sistema de compartilhamento de arquivos nativo do mundo Unix, que depende do NIS pra que os mesmos usuários existam nas duas máquinas.
Teoricamente é o mais simples de usar, pois basta ativar os serviços. Mas como eu disse, tem problemas de segurança (não oferece privacidade).

LDAP é um diretório de informação, que serve pra compartilhar a base de usuários. Não faz nenhum tipo de compartilhamento de arquivos. Trabalha integrado com outros sistemas, um deles é o próprio Samba.
Não é simples pra implementar, nem pra manter, mas o CxB é bom o suficiente pra ser considerado uma das melhores opções quando vc tem uma rede mista de Linux e Windows.

[maurov]

Vamos nos ater a primeira parte:

O Samba trabalha no servidor. Todos os usuários são criados e existem no servidor. Quem acessa o servidor usa suas credenciais e se identifica como um dos usuários, que participa de um ou mais grupos.
Não confunda isso com fazer login na própria máquina.

Aqui a confusão. Digamos que o usuario default do servidor seja joao com senha joao11. João pode logar no servidor como usuário normal, pelo modo gráfico, e tem sua pasta /home/joao/. O mesmo servidor tem uma pasta chamada vendas, por exemplo, que está configurada como compartilhada.
Um usuário de outra máquina, maria, senha maria22 acessa sua workstation onde tem sua pasta /home/maria/ e também precisa acesso à pasta vendas do servidor. Outras pessoas de outras áreas não devem ter este acesso.  Podemos usar aqui o recurso de grupo?

Em caso positivo, criar-se no servidor um usuário maria com o comando adduser? O que acontece?

[zekkerj]

Sim. Mas pra que maria consiga acessar o servidor, ela deve existir lá.

Note que nada impede que claudia acesse o servidor passando o usuário e a senha de maria. Na máquina de origem dela, ela é claudia, tem pasta /home/claudia. Mas na hora em que ela se autentica com o servidor, ela diz que é maria, e passa a senha de maria, então ela vai acessar tudo que maria acessa no servidor.