[Samba-it] OT: problema posix acl
Alessandro Dentella
sandro at e-den.it
Wed Mar 9 04:30:39 MST 2011
On Wed, Mar 09, 2011 at 11:42:21AM +0100, Maurizio Marini wrote:
> On Wed, 9 Mar 2011 10:37:35 +0100
> Alessandro Dentella <sandro at e-den.it> wrote:
>
>
>
> > Io sono ancora convinto che il trucco sta nel non partire da un file con una
> > maschera troppo stretta se si pretende di usare strumenti che copiano le acl
> > di cui la maschera è una componente. Puoi usare dei gruppi privati o un
> > gruppo collettivo, tanto poi nella loro home non ci può arrivare nessuno per
> > cui non violi la loro privacy.
> >
> mah, sono perplesso...
Della soluzione o della spiegazione?
> ti dico il caso d'uso: siamo in un istituto con un server, alcuni insegnati, le
> loro classi e gli alunni
> gli insegnati hanno delle home assolutamente private 0700, l'insegnate in
> classe e' il deus ...;)
> lui prepara un file con della didattica e quando ha finito lo copia nella dir
> terzac, dove gli alunni della terzac possono accedere e prenderselo.
> Non si usa samba, ma si accede in vnc e si usa Dolphin
> Si vorrebbe evitare che l'insegnate (gia' e' e' molto ch eusi Dolphin!) debba
> settarsi a mano le acl dopo aver fatto le copia
> Fra l'altro ho visto che Nautilus ha un bel pannello.
> per la gestione delle ACL quindi in teoria avrebbero anche uno strumento visual
> per farlo
Io dico che *in origine* non deve avere file 0700. Se nella sua home i file
sono 770, non dovrà fare assolutamente *nulla* e tutto funzionerà. Quando fa
la copia del file nella classe terzac, la maschera non inibisce la
possibilità di copia
Se nel tuo sistema hai gruppi privati non esiste alcun problema a mettere
come default 770. In realtà non esiste comunque il problema perché basta
sandro at argoz:~$ id sandro
uid=1000(sandro) gid=1000(sandro) gruppi (lpadmin),119(admin),122(sambashare)
### sandro NON appartiene al gruppo decenti, test_acl permette il gruppo
### alunni
sandro at argoz:~$ getfacl
# file: test_acl/
# owner: root
# group: root
user::rwx
user:sandro:rwx
group::r-x
mask::rwx
other::r-x
default:user::rwx
default:user:sandro:rwx
default:group::rwx
default:group:alunni:rw
default:mask::rwx
default:other::rwx
## Sistemo la cartella di origine in modo che i file siano 770
sandro at argoz:~$ setfacl -m d:o::---,m:rxw .
## Creo un file, verifico 770
sandro at argoz:~$ > a_grp
sandro at argoz:~$ ll a_grp
-rw-rw----+ 1 sandro sandro 0 2011-03-09 12:24 a_grp
sandro at argoz:~$ getfacl a_grp
# file: a_grp
# owner: sandro
# group: sandro
user::rw-
group::rwx #effective:rw-
mask::rw-
other::---
## lo copio in test_acl
sandro at argoz:~$ cp a_grp test_acl/
sandro at argoz:~$ getfacl test_acl/a_grp
# file: test_acl/a_grp
# owner: sandro
# group: sandro
user::rw-
user:sandro:rwx #effective:rw-
group::rwx #effective:rw-
group:alunni:rwx #effective:rw-
mask::rw-
other::---
group:alunni:rwx #effective:rw-
## mi garantisce accesso al file da part del gruppo 'alunni'
sandro
*:-)
--
Sandro Dentella *:-)
http://www.reteisi.org Soluzioni libere per le scuole
http://sqlkit.argolinux.org SQLkit home page - PyGTK/python/sqlalchemy
More information about the samba-it
mailing list