Samba com Foco em organização de arquivos de projetos em pasta pública e subpastas restritas

cachfotos
(usa Outra)

Enviado em 17/09/2020 - 15:31h

Pessoal tudo bem?

Desculpem, já tentei aqui, até os cursos da TreinaWeb já paguei e ainda não consegui resolver minha dúvida aqui na empresa.
Já assisti vídeos também, mas ninguém nunca cita esses exemplos.

Versão do Samba - version 3.6.23-53.el6_10
Versão do Sistema - CentOS release 6.10 (Final) - 2.6.32-754.33.1.el6.x86_64

Agora vamos para a dúvida:

Meu chefe quer um servidor samba, para que via VPN possamos acessar o mesmo, seja por Windows ou por Mac.

Configurei tudo, acontece que o foco está em organização e produção de eventos/projetos, logo, ele quer que por exemplo

A estrutura dos diretórios seja:


Empresa XYZ (todos gravam e leem)
|_ Cliente X (fulano grava e lê e os demais somente leem)
-> |_ Finanças cliente X (Somente o fulano grava, e ninguém acessa) (Subpasta do diretório ClienteX
|_ Cliente Y (ciclano grava e Lê, os demais somente leem)
-> |_ Finanças Cliente Y (somente ciclano grava e lê, demais ninguém acessa) ( Subpasta do diretório Cliente Y
|_ Diretório próprio do User (Somente ele Abre, Grava e Lê)


Já Consegui praticamente tudo, mas por exemplo, no diretório Empresa XYZ, como todos gravam e leem, se eu sou fulano, eu posso também excluir a pasta Cliente X inteira, e isso é um problema, porque se for um dedo nervoso, e excluir sem querer, já era. Mas tentei dar uma permissão limitada somente para o diretório sem afetar o conteúdo, ou seja, sem o -R, mas não deu certo.

Segue o SMB.conf:

[global]
workgroup = WORKGROUP
server string = srvfiles
interfaces = tun0, lo
netbios name = srvfiles
smb ports = 139
passdb backend = tdbsam
security = user
create mask = 0664
directory mask = 2775
force create mode = 0644
force directory mode = 2775
hosts allow = 127., 175.40.10., 10.0.0.

[Usuario]
writable = yes
invalid users = @grpxyzadm, usuariax
path = /files/Usuario

[Usuario2]
path = /files/Usuario2
writable = yes
invalid users = usuariax, @grpsuporte

[Usuario3]
path = /files/Usuario3
invalid users = usuariax, usuario2, usuario

[Empresaxyz]
path = /files/Empresaxyz
writable = yes
write list = @grpsuporte, @grpxyzadm
invalid users = usuariax

[Empresaxyz_Suporte]
path = /files/Empresaxyz/Empresaxyz_Suporte
force group = +grpsuporte
writable = yes
invalid users = usuariax
write list = @grpsuporte
read list = usuario2

[Empresaxyz_Adm]
path = /files/Empresaxyz/Empresaxyz_Adm
writable = yes
write list = @grpEmpresaxyzadm
invalid users = usuariax
read list = usuario

[usuariax]
writable = yes
invalid users = @grpEmpresaxyzadm, @grpsuporte
path = /files/usuariax

Se puderem dar essa força, será valiosíssimo para mim!

Mauriciodez
(usa Debian)

Enviado em 17/09/2020 - 15:46h

O que vc pode fazer aí para remediar os dedos nervosos é implementar uma lixeira ... assim se deletar sem querer pelo menos tem como restaurar !!

https://www.vivaolinux.com.br/dica/Lixeira-no-Samba
https://rafaelit.wordpress.com/2018/02/21/configurando-auditoria-e-lixeira-no-samba/

------------------------------------------------------| Linux User #621728 |------------------------------------------------------



                                " Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"



------------------------------------------------------| Linux User #621728 |------------------------------------------------------ 

cachfotos
(usa Outra)

Enviado em 17/09/2020 - 16:01h

Vou tentar achar a respeito da Lixeira, e tentarei implementar.

cachfotos
(usa Outra)

Enviado em 18/09/2020 - 15:45h

OK amigo!!
Ainda não fiz a Lixeira, mas agora outra dúvida:

Vou colocar um diretório exemplo aqui:

[Faturas2]
path = /nomedodiretório/Faturas2
writable = yes
write list = @grpadm, @grpsuporte
invalid users = usuariax

Permissão da pasta no GNU Linux :
drwxrwsr-x 2 root/usuarioadm/qualforouusuariodogrupoadm grpadm Faturas2

Agora a dúvida, preciso que a pasta seja escrita por usuários do grupo ADM, e pelos usuários do grupo suporte. E os demais não tenham acesso à esse diretório.

Desse jeito que eu coloquei, o grupoadm está gravando, já o grupo suporte só está lendo, porque tecnicamente ele é o "outros" das permissões. Mas se eu der permissão 777, deixo o diretório todo aberto para o mundo.

Alguma idéia ? rsrsrs Tô quebrando a cabeça, mas ainda nenhuma idéia.

Obrigado Novamente!

Mauriciodez
(usa Debian)

Enviado em 18/09/2020 - 21:00h

v se isso te da uma luz >>> https://www.vivaolinux.com.br/dica/Compartilhamento-no-Samba-com-permissao-de-grupo


NOTA: se teu diretório vai estar com permissão 777 não adianta nada configurar o samba , seria a mesma coisa de deixar a porta da casa aberta e colocar uma placa "só entra fulano e ciclano".

------------------------------------------------------| Linux User #621728 |------------------------------------------------------



                                " Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"



------------------------------------------------------| Linux User #621728 |------------------------------------------------------ 

cachfotos
(usa Outra)

Enviado em 22/09/2020 - 10:26h

Amigo, obrigado pelo seu retorno. E me perdoa pela demora.

Pois bem, na verdade isso não ajuda tanto, porque não posso criar um grupo somente:

A real é assim:

Uma pessoa do Suporte pode fazer tudo, o ADM todo pode fazer tudo, e um cara específico de fora do grupo pode acessar tudo Read Write e Execute, o resto não pode nada.

Está meio complicado, a cabeça não está pegando no tranco, deixei uns 4 dias sem mexer nisso, mas me lembro que o único modo que funcionou foi jogando um 2775 e usuariodoadm.grupoadm

Eu vou voltar ais estudos e traço mais planos e detalhes para você.
Sobre adicionar o usuário em um ou vários grupos, no /etc/group e com vírgula eu sabia, mas são testes e coisas as vezes até absurdas que estamos fazendo baseando-se nos níveis de pedidos, e as vezes falta de conhecimento real de nossos clientes.

Vou tentar retormar essa semana e trago novas dúvidas e novidades a respeito do desenrolar de tudo