Přidělování práv

Přidělování práv pod Sambou má svoje výhody a nevýhody. Je kombinací dvou různých oprávnění, jednoho na aplikační a jednoho na systémové úrovni.
Aby bylo možné pochopit přidělování práv v Sambě a v systému, je nejprve nutné znát přidělování práv v systému a znát aktuální ID uživatelů a GID skupin, nezávisle na tom zda se používají systémoví uživatelé, databáze jako MySQL nebo LDAP.



Systémová práva

1) Systémová práva mají přednost před právy Samby.. Protože systémová práva tvoří základ, není možné přepsat právy Samby jejich výsledek. Pro příklad, jestliže přístup do adresáře nezajišťuje práva pro zápis, nastavením práv pro zápis v Sambě nižeho nedosáhneme.
2) Systémová práva nepřepisují výsledná práva Samby. Protože systémová práva tvoří základ, nepřepisují práva daná Sambou. Pokud Samba nedovolí zápis, ale systémová práva ho umožňují, výslednými právy jsou stále jenom práva pro čtení.

Systémová práva jsou přidělována podle ID uživatele (každý uživatel má jako ID nějaké číslo) a GID primární skupiny. Mimo to může být uživatel členem dalších skupin (každá skupina má vlastní GID). Například práva:
-rwxr-xr-x
Práva se přidělují pro tři kategorie. Vlastník souboru, skupina a ostatní. Při vytváření souboru se vždy použije vlastníkem souboru stane dvojice ID uživatele:GID primární skupiny.
Každá uvedená identifikace, tedy Vlastník,Skupina a Ostatní má práva reprezentována trojicí znaků.
Read - právo pro čtení, reprezentováno číslem 4
Write - právo pro zápis, reprezentováno číslem 2
eXecute - právo pro spuštění souborů nebo prohlížení adresářů, reprezentováno číslem 1
Výše uvedený příklad tedy znamená všechny práva pro majitele, pro příslušníky skupiny a ostatní práva číst a spouštět.
Práva se sčítají a pro Vlastníka, Skupinu a Ostatní jsou uvedena zvlášť. Tedy právo 754 znamená, že vlastník může se souborem dělat cokoliv, příslušník skupiny si ho může prohlédnout nebo spustit a ostatní si ho mohou pouze prohlédnout.
Mimo těchto základních práv jsou zde ještě rozšířená práva:
Setuid bit - Při spuštění nastaví ID vlastníka. V součtu s ostatními právy je reprezentováno jako 4000.
Setgid bit - Při spuštění nastaví GID skupiny. V součtu s ostatními právy je reprezentováno jako 2000.
Sticky bit - "Lepivý" bit, umožňuje neprivilegovaným uživatelům vkládat soubory do adresáře, neumožní jim je ale smazat. V součtu s ostatními právy je reprezentováno jako 1000.

Nastavení práv je možné příkazem chmod, nastavení vlastnictví pro ID:GID příkazem chown. Bliží informace lze najít v manuálu pro tyto příkazy.



Práva zprostředkovaná Sambou

Samba přistupuje k výsledkům poskytnutým souborovým systémem a nad ním řeší vlastní řízení práv pomocí následujících parametrů:
read only = Pouze pro čtení, defaultní nastavení Yes, volby Yes/No.
writeable = Povolí přístup i pro zápis, volby Yes/No
guest ok = Všichni uživatelé, včetně hostů, mají právo přistupu ke zdroji bez hesla, defaultně No, volby Yes/No

read list = Seznam uživatelských jmen nebo skupin uživatelů, kteří dostanou právo ke čtení.
write list = Seznam uživatelských jmen nebo skupin uživatelů, kteří dostanou právo pro zápis.
valid users = Seznam uživatelských jmen nebo skupin uživatelů, kteří mají zdroj dostupný.
invalid users = Seznam uživatelských jmen nebo skupin uživatelů, kteří mají zdroj nedostupný.
Uživatelé jsou v seznamu reprezentování názvem stejně jako skupiny. Rozlišení skupin od uživatelů je zajištěno znakem @, který se vkládá bez mezery před název skupiny.

create mask = Nastavuje masku pro vytváření práv k souborům. Defaultně je nastavení 0022.
directory mask = Nastavuje masku pro vytváření práv k novým adresářům. Adresáře musí mít nastavený "execute bit". Defaultně je nastaveno 0755.

Větší množství informací lze najít v manuálech ke konfiguračnímu souboru Samby na adrese:
http://us5.samba.org/samba/docs/man/manpages-3/smb.conf.5.html
nebo na stránkách dokumentace projektu:
http://us5.samba.org/samba/docs/

Powered by Drupal - Design by artinet