[Samba-it] OT: problema posix acl

Alessandro Dentella sandro at e-den.it
Wed Mar 9 04:30:39 MST 2011 

On Wed, Mar 09, 2011 at 11:42:21AM +0100, Maurizio Marini wrote:
> On Wed, 9 Mar 2011 10:37:35 +0100
> Alessandro Dentella <sandro at e-den.it> wrote:
> 
>  
> 
> > Io sono ancora convinto che il trucco sta nel non partire da un file con una
> > maschera troppo stretta se si pretende di usare strumenti che copiano le acl
> > di cui la maschera è una componente. Puoi usare dei gruppi privati o un
> > gruppo collettivo, tanto poi nella loro home non ci può arrivare nessuno per
> > cui non violi la loro privacy.
> > 
> mah, sono perplesso...

Della soluzione o della spiegazione?

> ti dico il caso d'uso: siamo in un istituto con un server, alcuni insegnati, le
> loro classi e gli alunni
> gli insegnati hanno delle home assolutamente private 0700, l'insegnate in
> classe e' il deus ...;)
> lui prepara un file con della didattica e quando ha finito lo copia nella dir
> terzac, dove gli alunni della terzac possono accedere e prenderselo.
> Non si usa samba, ma si accede in vnc e si usa Dolphin
> Si vorrebbe evitare che l'insegnate (gia' e' e' molto ch eusi Dolphin!) debba
> settarsi a mano le acl dopo aver fatto le copia 
> Fra l'altro ho visto che Nautilus ha un bel pannello.
> per la gestione delle ACL quindi in teoria avrebbero anche uno strumento visual
> per farlo

Io dico che *in origine* non deve avere file 0700. Se nella sua home i file
sono 770, non dovrà fare assolutamente *nulla* e tutto funzionerà. Quando fa
la copia del file nella classe terzac, la maschera non inibisce la
possibilità di copia

Se nel tuo sistema hai gruppi privati non esiste alcun problema a mettere
come default 770. In realtà non esiste comunque il problema perché basta 


   sandro at argoz:~$ id sandro
   uid=1000(sandro) gid=1000(sandro) gruppi  (lpadmin),119(admin),122(sambashare)
   ### sandro NON appartiene al gruppo decenti, test_acl permette il gruppo
   ### alunni

   sandro at argoz:~$ getfacl 
   # file: test_acl/
   # owner: root
   # group: root
   user::rwx
   user:sandro:rwx
   group::r-x
   mask::rwx
   other::r-x
   default:user::rwx
   default:user:sandro:rwx
   default:group::rwx
   default:group:alunni:rw
   default:mask::rwx
   default:other::rwx

   ## Sistemo la cartella di origine in modo che i file siano 770
   sandro at argoz:~$ setfacl -m d:o::---,m:rxw .

   ## Creo un file, verifico 770
   sandro at argoz:~$ > a_grp
   sandro at argoz:~$ ll a_grp
   -rw-rw----+ 1 sandro sandro 0 2011-03-09 12:24 a_grp
   sandro at argoz:~$ getfacl a_grp
   # file: a_grp
   # owner: sandro
   # group: sandro
   user::rw-
   group::rwx			#effective:rw-
   mask::rw-
   other::---

   ## lo copio in test_acl
   sandro at argoz:~$ cp a_grp test_acl/
   sandro at argoz:~$ getfacl test_acl/a_grp 
   # file: test_acl/a_grp
   # owner: sandro
   # group: sandro
   user::rw-
   user:sandro:rwx			#effective:rw-
   group::rwx			#effective:rw-
   group:alunni:rwx		#effective:rw-
   mask::rw-
   other::---


   group:alunni:rwx		#effective:rw-
   ## mi garantisce accesso al file da part del gruppo 'alunni'



sandro
*:-)

-- 
Sandro Dentella  *:-)
http://www.reteisi.org             Soluzioni libere per le scuole
http://sqlkit.argolinux.org        SQLkit home page - PyGTK/python/sqlalchemy

More information about the samba-it mailing list