Я успешно установил CentOS и присоединил его к домену Windows 2003 Active Directory с Winbind и Samba. Мы переводим один из наших файловых серверов на CentOS. Одна из вещей, которую я не могу понять, - это назначение разрешений для общих файловых ресурсов.
Если вам интересно, как я это настроил, я последовал этому руководству: http://www.linuxmail.info/active-directory-integration-samba-centos-5/
В качестве примера предположим, что у нас есть общий ресурс с именем «Shared», к которому мы хотим, чтобы группа «Пользователи домена» имела доступ и запись. Теперь предположим, что у нас есть папка внутри этого общего ресурса под названием «Секрет». Мы только хотим, чтобы группа «Секретные агенты» могла читать и писать в эту папку. Должно стать ясно, что ограничение доступа к подпапке общего ресурса Samba либо невозможно, либо сложно настроить, что и побудило меня рассмотреть возможность использования списков ACL POSIX.
Мой первый вопрос: это хороший способ настроить это? Ваша первая мысль может заключаться в том, чтобы разбить папку «Секрет» на отдельный общий ресурс, но поскольку в реальной жизни у нас есть много-много вложенных папок внутри общих папок с разными наборами разрешений, предоставление каждой отдельной папке отдельной общей папки стало бы кошмаром .
Мой второй вопрос: если использование POSIX ACL - хороший способ, тогда ACL останутся нетронутыми, если файлы и папки были скопированы и восстановлены. Останутся ли они нетронутыми, если, скажем, сервер взорвется, и мы восстановим эти файлы и папки на другом сервере?
Я не очень много знаю о списках ACL POSIX. Я узнал о них только сегодня. Так что, если есть какие-либо потенциальные проблемы или «уловки», о которых, по вашему мнению, я должен знать, включите их тоже.
Спасибо за ваше время
Я сделал то же самое на файловом сервере моей компании. Вроде работает. Единственный недостаток заключается в том, что клиенты Samba для Mac и Linux, похоже, копируют исходные права доступа к файлам. Поэтому мне пришлось поставить cron-скрипт для восстановления правильных разрешений.
Кстати, такой скрипт решит вам проблему резервного копирования и восстановления. Главный недостаток в том, что он отменяет разрешения, установленные вашими пользователями.
Это именно то, что я делал раньше, и это работает, хотя иногда это может немного запутаться. При настройке ACL я бы рекомендовал также настроить каталоги так, чтобы файлы и подкаталоги в них принадлежали секретной группе, если не фиктивному «секретному» пользователю.
Если списки ACL копируются при резервном копировании и восстановлении, это будет зависеть от вашего программного обеспечения для резервного копирования, но в целом они есть, а если нет, это может быть просто флаг, который нужно пройти. Это будет --xattrs или --acls, если используется резервное копирование на основе GNU Tar, такое как Amanda, возможно, по умолчанию в более новых версиях Tar. Предполагая, что вы выполняете восстановление на другом сервере GNU / Linux, атрибуты могут быть восстановлены на месте, хотя вы захотите убедиться, что у вас те же пользователи / группы на новом сервере (в идеале централизованная аутентификация).