[Samba-it] Gruppo Everyone.
Meli Marco
Marco.Meli at gknsintermetals.com
Mon Oct 24 15:43:01 MDT 2005
Ciao,
Da qualche mese sto lavorando con samba connesso ad un ADS Windows
2003.
Ho alcune difficoltà a gestire le ACL in questa modalità, ossia
credevo di
avere un problema fino a quando ho letto sulla documentazione samba un
articolo riferito al gruppo "Everyone" nel quale si spiega che bisogna
fare
attenzione ad estrometterlo dalle autorizzazioni degli oggetti perchè
non si
tratta di un gruppo ma di una identità speciale che comprende come
dice la
parola stessa tutti gli utenti e dalla quale non è possibile nemmeno
escludersi.
Veniamo al punto, se devo organizzare una struttura come la seguente:
/data
/user
/user_1
/user_2
/user_ ...
in cui sotto la directory /user trovo tutte le cartelle personali di
ogni
singolo utente, non mi è possibile impostare l'utente in modo che
visualizzi
solo la propria cartella.
Per far ciò io darei i diritti di controllo completo all'utente ed
escluderei tutti i diritti di Everyone.
Per un principio per cui la negazione ha la priorità e non assegnare
i
permessi significa negare, l'utente pur avendo controllo completo sulla
cartella ma facendo anche parte del gruppo Everyone non visualizza
nemmeno
la propria cartella personale.
Risultato da quello che ho capito Everyone deve essere sempre presente
e
deve almeno avere i diritti di lettura visualizzazione su tutte le
cartelle.
Se però dovessi eliminare la samba box dal dominio e ricollegarmi con
modalità domain anzichè ads ed utilizzare net rpc ... per fare il
join avrei
lo stesso comportamento che avevo prima con il mio NT4.
Quando ero collegato al mio NT4 e settavo i permessi perchè un utente
vedesse la propria cartella mentre toglievo i permessi dal gruppo
Everyone
l'effetto era effettivamnete quello voluto, cioè che solo
quell'utente
vedesse la propria cartella ed ovviamente ci potesse scrivere.
Allora vi chiedo potrebbe essere che vi sia qualche impostazione da
cambiare
sul mio ADS Windows 2003 server perchè tutto funzioni come prima?
Inoltre collegandomi ad un ADS come se fosse un NT4 perchè tutto
funziona?
Quali sono i criteri di autotenticazione e protezione che entrano in
gioco
in tal caso? Kerberos a parte ...
Saluto, grazie.
--- StripMime Report -- processed MIME parts ---
multipart/alternative
text/plain (text body -- kept)
text/html
---
More information about the samba-it
mailing list