[Samba-it] Windows 2003 e ACL.

Simo Sorce simo.sorce at xsec.it
Wed Oct 26 15:23:12 MDT 2005 

On Wed, 2005-10-26 at 10:36 +0200, Meli Marco wrote:
> Ciao,
> Ritento per l'ennesima volta a postare ... Non posso credere che non ci 
> sia
> uno che non abbia un samba file server collegato a Windows 2003 ed 
> utilizzi
> le ACL su filesystem xfs per assegnare diritti agli utenti.

C'è, c'è solo che non sempre ha il tempo di rispondere.

> Il problema è il seguente, mettete di avere uno share [data] nel file
> smb.conf, all'interno di questa cartella una cartella /user al cui 
> interno
> abbiamo tutte le cartelle degli utenti e sulle quali ciascun utente ha
> diritti di lettura/scrittura solo sulla propria cartella:
> /data
> 	/user
> 		/marco
> 		/giovanni
> 		/paola
> 		/....
> L'istinto è quello di assegnare all'utente i diritti di "controllo 
> completo"
> sulla propria directory e togliere tutti i diritti al gruppo "Everyone" 
> per
> evitare che tutti gli altri utenti vedano la cartella.

Onestamente mi puzza tanto di baco.

> In pratica voglio che l'utente marco quando entra in /user veda solo la
> cartella /marco.

Prova a dare ad everyone i soli diritti di esecuzione.

> Ciò non avviene e questo da quando sono collegato a Windows Server 
> 2003 che
> peraltro per ragioni di compatibilità sta lavorando in mixed mode.

Questo non influisce sulle acl.

> Quando ero collegato al PDC NT4 non avevo questo tipo di problema e 
> riuscivo
> benissimo a "nascondere" le cartelle in particolare mi era di aiuto la
> direttiva "hide unreadable = yes".
> Per ottenere l'effetto desiderato devo sempre assegnare almeno i 
> diritti di
> lettura/esecuzione al gruppo Everyone perchè di Everyone ovviamente 
> fa parte
> anche il mio utente (In NT4 se ne fregava e bastava mettere controllo
> completo all'utente).
> Ho verificato che è possibile ottenere l'effetto desiderato anche con
> Windows Server 2003 ma in tal caso il join al dominio deve essere fatto 
> con
> il comando "net rpc join ...." come se fosse un NT4 ed in tal caso non
> utilizzerò Kerberos.

mi sembra onestamente strano che ci sia una differenza in base al tipo
di join.

> Il problema è che il mio server windows 2003 non lavorerà sempre in 
> mixed
> mode ed in modalità nativa dovrò fare join con net ads ...
> E' probabile che ci sia da impostare qualche parametro di sicurezza in
> windows 2003? Ma cosa e dove?

Non credo, hai provato però a cambiare i parametri che indicano per
quale tipo di client ottimizzare le acl?
Tieni conto che indipendentemente da come le visualizza Windows alla
fine sono le ACL posix quelle che hanno valore effettivo, per cui se il
problema è solo estetico e non sostanziale lo puoi tranquillamente
ignorare.
Putroppo questa è un'area che a volte può essere insoddisfacente perch
è
il mapping tra ACL posix e Win32 è imperfetto (causa incompatibilità
delle semantiche) ma generalmente esso è sufficientemente buono per
ottenere gli effetti necessari anche se a volte è esteticamente brutto
nella security tab.

un saluto,
Simo.

-- 
Simo Sorce - simo.sorce at xsec.it
Xsec s.r.l. - http://www.xsec.it
via Garofalo, 39 - 20133 - Milano
mobile: +39 329 328 7702
tel. +39 02 2953 4143 - fax: +39 02 700 442 399

More information about the samba-it mailing list