Koozali.org: home of the SME Server

autorizzazioni utente gruppi tramite ibay

Offline Stefano

  • *
  • 10,894
  • +3/-0
Re: autorizzazioni utente gruppi tramite ibay
« Reply #15 on: September 27, 2010, 11:46:46 AM »
http://www.centos.org/product.html

scorri verso il basso.. hai ragione, per SME7 il limite è di 8 TB

ergo devi pensare ad un altro FS, sorry

ext4 non è supportato da SME7 e SME8
proverei con xfs, ma qui mi fermo, non ho esperienza..

ti consiglio di chiedere info nel forum inglese

Offline Stefano

  • *
  • 10,894
  • +3/-0
Re: autorizzazioni utente gruppi tramite ibay
« Reply #16 on: September 27, 2010, 01:50:54 PM »
ciao

perdonami ma oggi ti ho risposto senza documentarmi.

CentOS (e quindi SME) non supporta nativamente xfs

puoi però aggiungere il supporto usando il repo Centosplus (già disponibile di default)
puoi anche dare una occhiata a jfs

more info:
http://www.centos.org/centos/4/centosplus/Readme.txt
http://wiki.centos.org/AdditionalResources/Repositories/CentOSPlus

in tutti i casi, prima di mettere in produzione la cosa, farei dei test, anche perchè non so se smeserver-sharedfolders possa funzionare.. e, chiaramente, viene a cadere il discorso di espandere il volume lvm, visto che non puoi avere 2 filesystem diversi
 

Re: autorizzazioni utente gruppi tramite ibay
« Reply #17 on: September 27, 2010, 01:53:15 PM »
Sinceramente, anche se lo utilizzo da poco, mi sono affezionato a SME e non penso di abbandonarlo. Magari per qualche lavoro in particolare ritornerò ad Ubuntu mentre, tutte le volte che potrò, userò SME suddividendo i volumi in sottovolumi da 7.3Tb e usando i link dinamici se non c'è metodo migliore.
In merito alla soluzione che adotto, ho ancora qualche dubbio....
SITUAZIONE : Ho 3 volumi montati in /mnt (/mnt/dati1 ; /mnt/dati2 ; /mnt/dati3)
Ho 27 cartelle condivise create con sharedfolders per ciascuna delle quali ho creato dei link dinamici ai mount (17 di esse su dati1 , 6 su dati2, 4 su dati3). Su di esse sono impostati i permessi per utenti e gruppi.
I miei dubbi sono :
1) da Xp creo degli utenti con le stesse credenziali degli utenti SME. Mi accade questo :
- Quando cerco di accedere ad una cartella per la quale l'utente è abilitato, mi chiede comunque di inserire nome utente e password.
- Una volta inserite accedo alla cartella e posso effettuare operazioni di r/w.
- Rientrando nella stessa cartella, accedo senza problemi e senza richiesta di credenziali.
- Provando ad accedere ad una cartella senza gli opportuni permessi, mi nega l'accesso.
Perchè la prima volta che entro, mi chiede di inserire nome utente e password quando sono già loggato con l'utente corretto?

2) Utilizzando questo sistema, dal client XP ho accesso alla cartella condivisa e in questa da XP vedo il link simbolico.
- quando scrivo dei dati all'interno del link simbolico, utilizzo il relativo mount.
- diversamente se scrivo al di fuori del link, utilizzo l'hd di sistema.
Come posso evitare ciò? Vorrei fare in modo che i client XP non possano accedere all'hd di sistema, e che quando apro la cartella condivisa si trovino già all'interno del link simbolico.

3) Ho notato che man mano che accedo alle cartelle condivise, me ne crea altre con il nome dell'utente. Es. ho un utente che si chiama pippoa mentre la relativa cartella si chiama pippo. Inizialmente vedo solo pippo, poi una volta loggato per la prima volta vedo anche pippoa. Anche in questo caso ciò che scrivo all'interno di pippoa va sul disco di sistema...nella cartella /home/e-smith/files/users/pippoa/home.

4) Ho impostato ad una cartella condivisa permessi di r/w per 2 gruppi e solo r per un altro gruppo. Loggando da XP, riesco a scrivere e creare files in questa cartella...perchè?

Come posso evitarlo?

Ciao

Antonio.



Offline Stefano

  • *
  • 10,894
  • +3/-0
Re: autorizzazioni utente gruppi tramite ibay
« Reply #18 on: September 27, 2010, 02:42:45 PM »
In merito alla soluzione che adotto, ho ancora qualche dubbio....
SITUAZIONE : Ho 3 volumi montati in /mnt (/mnt/dati1 ; /mnt/dati2 ; /mnt/dati3)
Ho 27 cartelle condivise create con sharedfolders per ciascuna delle quali ho creato dei link dinamici ai mount (17 di esse su dati1 , 6 su dati2, 4 su dati3). Su di esse sono impostati i permessi per utenti e gruppi.
I miei dubbi sono :
1) da Xp creo degli utenti con le stesse credenziali degli utenti SME. Mi accade questo :
- Quando cerco di accedere ad una cartella per la quale l'utente è abilitato, mi chiede comunque di inserire nome utente e password.
- Una volta inserite accedo alla cartella e posso effettuare operazioni di r/w.
- Rientrando nella stessa cartella, accedo senza problemi e senza richiesta di credenziali.
- Provando ad accedere ad una cartella senza gli opportuni permessi, mi nega l'accesso.
Perchè la prima volta che entro, mi chiede di inserire nome utente e password quando sono già loggato con l'utente corretto?

2) Utilizzando questo sistema, dal client XP ho accesso alla cartella condivisa e in questa da XP vedo il link simbolico.
- quando scrivo dei dati all'interno del link simbolico, utilizzo il relativo mount.
- diversamente se scrivo al di fuori del link, utilizzo l'hd di sistema.
Come posso evitare ciò? Vorrei fare in modo che i client XP non possano accedere all'hd di sistema, e che quando apro la cartella condivisa si trovino già all'interno del link simbolico.

3) Ho notato che man mano che accedo alle cartelle condivise, me ne crea altre con il nome dell'utente. Es. ho un utente che si chiama pippoa mentre la relativa cartella si chiama pippo. Inizialmente vedo solo pippo, poi una volta loggato per la prima volta vedo anche pippoa. Anche in questo caso ciò che scrivo all'interno di pippoa va sul disco di sistema...nella cartella /home/e-smith/files/users/pippoa/home.

4) Ho impostato ad una cartella condivisa permessi di r/w per 2 gruppi e solo r per un altro gruppo. Loggando da XP, riesco a scrivere e creare files in questa cartella...perchè?

Come posso evitarlo?

domande:
- i volumi montati hanno l'attributo acl nel file fstab?
- le macchine xp sono in dominio? se no, il gruppo di lavoro è lo stesso?

Re: autorizzazioni utente gruppi tramite ibay
« Reply #19 on: September 27, 2010, 05:35:27 PM »
1) Si, i Volumi sono montati in acl. Lanciando mount ho verificato che il parametro è stato accettato.
2) i client non sono in dominio ma appartengono tutte al gruppo WORKGROUP (default su XP)

Re: autorizzazioni utente gruppi tramite ibay
« Reply #20 on: September 27, 2010, 06:18:23 PM »
Ho risolto qualche problemino.
1) Sono riuscito a non far visualizzare le condivisioni con i nomi dei singoli utenti, cancellando nel file /etc/samba/smb.conf la sezione [homes].
2) Sono riuscito ad forzare la cartella con permessi di r/w per 2 gruppi e di sola r per un utente aggiungendo sempre in smb.conf le direttive read list e write list.
Continuo a provare x il resto.
Non mi è venuto in mente prima di modificare il file conf di samba perchè avevo letto da qualche parte che le eventuali modifiche non vengono prese in considerazione.
Avevo pensato di specificare nel file smb.conf anche tutti i permessi delle altre cartelle condivise sempre con le direttive read list e write list, può essere un buon approccio al problema?


Re: autorizzazioni utente gruppi tramite ibay
« Reply #21 on: September 27, 2010, 06:40:03 PM »
Ho risolto anche un altro problema. Quando dai client aprivo le cartelle condivise adesso mi porta direttamente nella cartella del link simbolico. Per farlo anche in questo caso ho modificato il file smb.conf indicando nel percorso delle singole condivisioni, il percorso comprensivo del link simbolico. Ora verifico per l'ultimo problema rimasto, mi riferisco al fatto che la prima volta che da un client apro la cartella condivisa malgrado sono loggato con l'utente corretto mi chiede comunque nome utente e password.

Antonio.

Offline Stefano

  • *
  • 10,894
  • +3/-0
Re: autorizzazioni utente gruppi tramite ibay
« Reply #22 on: September 27, 2010, 07:02:13 PM »
Ho risolto qualche problemino.
1) Sono riuscito a non far visualizzare le condivisioni con i nomi dei singoli utenti, cancellando nel file /etc/samba/smb.conf la sezione [homes].

M A L E, per un semplice motivo: la prossima volta che metti mano ad una qualsiasi cacchiata che vede samba coinvolto, trovi tutto come prima (a tal proposito dovresti leggere come funziona SME: mai, Mai, MAI, tranne *rarissime* eccezioni, modificare file di conf a manina)


Quote
2) Sono riuscito ad forzare la cartella con permessi di r/w per 2 gruppi e di sola r per un utente aggiungendo sempre in smb.conf le direttive read list e write list.
Continuo a provare x il resto.
Non mi è venuto in mente prima di modificare il file conf di samba perchè avevo letto da qualche parte che le eventuali modifiche non vengono prese in considerazione.
Avevo pensato di specificare nel file smb.conf anche tutti i permessi delle altre cartelle condivise sempre con le direttive read list e write list, può essere un buon approccio al problema?

sinteticamente, NO :-)

Offline Stefano

  • *
  • 10,894
  • +3/-0
Re: autorizzazioni utente gruppi tramite ibay
« Reply #23 on: September 27, 2010, 07:04:59 PM »
Ho risolto anche un altro problema. Quando dai client aprivo le cartelle condivise adesso mi porta direttamente nella cartella del link simbolico. Per farlo anche in questo caso ho modificato il file smb.conf indicando nel percorso delle singole condivisioni, il percorso comprensivo del link simbolico. Ora verifico per l'ultimo problema rimasto, mi riferisco al fatto che la prima volta che da un client apro la cartella condivisa malgrado sono loggato con l'utente corretto mi chiede comunque nome utente e password.

Antonio.

male, e due :-)

Anto', sient'ammè: prima di andare avanti leggiti bene l'introduzione del manuale per sviluppatori.. non è molto, ma ti spiega come funzionano gli internals di SME.

ritengo sia necessario perchè stai facendo tanto lavoro per nulla, e tale lavoro può seriamente pregiudicare la sicurezza dei tuoi dati (che, se la demenza senile non mi ha completamente rinc..ito, si quantificano in tera)

tecnicamente parlando, stai mettendo il sedere davanti alle pedate ;-)

fermati e parliamone

Re: autorizzazioni utente gruppi tramite ibay
« Reply #24 on: September 27, 2010, 09:05:28 PM »
Ciao, ok io sono disponibile a ricominciare da 0, ma ho tempi strettissimi. Dammi qualche dritta...
shared folder può andar bene per i miei scopi? devo valutare altro?
come faccio a non far visualizzare le condivisione [home] quelle cioè con i nomi degli utenti senza modificare smb.conf?
come posso fare in modo che quando un client xp apre una condivisione, venga indirizzato direttamente sul mount?
perchè avendo dato permesso solo lettura ad un utente su una share, questo era in grado di scrivere e creare nella share?
Insomma tutto ciò che normalmente si ottiene modificando smb.conf, su SME come si fa?

Antonio

Re: autorizzazioni utente gruppi tramite ibay
« Reply #25 on: September 27, 2010, 09:09:46 PM »
a proposito, ho anche l'esigenza di cancellare in una share i file e cartelle più vecchi di 30g...ho fatto così.
crontab -e
i
0 * * * * find /mnt/dati3/scansioni -mtime +30 -exec rm {} \;
può andar bene?

P.s. : certo ke ne hai di pazienza x rispondermi ancora.... :-)
Antonio

Offline Stefano

  • *
  • 10,894
  • +3/-0
Re: autorizzazioni utente gruppi tramite ibay
« Reply #26 on: September 27, 2010, 09:35:04 PM »
Ciao, ok io sono disponibile a ricominciare da 0, ma ho tempi strettissimi. Dammi qualche dritta...

fretta e "fatto bene" possono convivere solo se c'è anche una negazione..
se i dati non sono i tuoi, ma il sedere si, ti assicuro che hai almeno decine di migliaia di ragioni (in euro) per pensarci ;-)

Quote
shared folder può andar bene per i miei scopi? devo valutare altro?

allora: tu stai usando 3 volumi da 8 TB.. montati in punti di mount diversi..
le shares che devi creare quante sono? il cliente finale ha/avrà la facoltà di crearsele?

perchè se le risposte sono "3" e "no" allora possiamo ragionare, altrimenti dobbiamo pensare il da farsi

Quote
come faccio a non far visualizzare le condivisione [home] quelle cioè con i nomi degli utenti senza modificare smb.conf?

modificando smb.conf, ma tramite il sistema di templating di SME..

ergo:
Code: [Select]
mkdir -p /etc/e-smith/templates-custom/etc/smb.conf
cd /etc/e-smith/templates-custom/etc/smb.conf
touch 50homes
touch 50homes-preexec
touch 50homesVFS
signal-event ibay-modify Primary
[/code

et voilà

[quote]
come posso fare in modo che quando un client xp apre una condivisione, venga indirizzato direttamente sul mount?
[/quote]

teoricamente dovremmo fare in modo che la cosa sia trasparente per l'utente

[quote]
perchè avendo dato permesso solo lettura ad un utente su una share, questo era in grado di scrivere e creare nella share?
[/quote]

ho la sfera di cristallo dal meccanico e le arti divinatorie ancora non le padroneggio..

[quote]
Insomma tutto ciò che normalmente si ottiene modificando smb.conf, su SME come si fa?
[/quote]

agendo sul server-manager, sui valori del db di gestione, usando custom templates

ripeto, nel tuo caso ritengo fondamentale che tu legga i principles di SME dal manuale per lo sviluppatore.. non ti insegna a programmare, am ti spiega come lavora SME

Offline Stefano

  • *
  • 10,894
  • +3/-0
Re: autorizzazioni utente gruppi tramite ibay
« Reply #27 on: September 27, 2010, 09:37:46 PM »
a proposito, ho anche l'esigenza di cancellare in una share i file e cartelle più vecchi di 30g...ho fatto così.
crontab -e
i
0 * * * * find /mnt/dati3/scansioni -mtime +30 -exec rm {} \;
può andar bene?

 qui trovi un bel esempio di script.. ti consiglio di mettere tutta la parte "attiva" in uno script da richiamare con cron, non di mettere il comando direttamente.. riduci le possibilità di errore

Quote
P.s. : certo ke ne hai di pazienza x rispondermi ancora.... :-)
Antonio

diciamo che sono allenato, eppoi da casi nuovi ho sempre da imparare.. ed il tuo mi interesse, avendo io un cliente con svariati TB di dati da gestire

p.s. non mi hai + contattato su skype ;-)

Re: autorizzazioni utente gruppi tramite ibay
« Reply #28 on: September 28, 2010, 01:04:05 AM »
ok, ho capito...in effetti è successo quello che hai preannunciato...dopo un pò nel file /etc/samba/smb.conf si sono annullate tutte le mie modifiche e la situazione è ritornata al punto di partenza.
Questa notte mi studierò il link http://wiki.contribs.org/SME_Server:Documentation:Developers_Manual, comunque ho capito come modificare il crontab tramite templates, ho cancellato le righe che avevo inserito manualmente, mi sono creato il file 35prova in /etc/e-smith/templates/etc/crontab, ho usato il comando expand-template e ho ritrovato il mio codice in automatico in /etc/crontab.
Grazie alle tue indicazioni, ho anche eliminato la sezione [homes] in smb.conf senza cancellarla manualmente, anche se francamente non ho ben capito cosa è successo, non riesco a dare ancora un significato a quei comandi. In pratica ho creato la cartella /etc/e-smith/templates-custom/etc/smb.conf e all'interno di essa 3 file vuoti con i nomi che mi hai indicato, non capisco però dove trovo scritto che per non visualizzare gli account degli utenti devo usare proprio quei nomi, mentre la questione del crontab mi è abbastanza chiara.
Le condivisioni purtroppo non sono 3...ma 17 sul primo volume, 6 sul secondo e 4 sul terzo. totale -> 27 ...
Non è necessario che il cliente le modifichi però.
Mi è rimasto il problema che quando i client XP aprono una cartella vedono il link simbolico e devono entrarci per poter scrivere i dati sul volume corrispondente mentre dovrebbero trovarsi già dentro. Posso creare dei collegamenti direttamente al link ma non mi sembra affatto una buona idea.
Inoltre mi capita una cosa strana...tutti i diritti vengono rispettati secondo le impostazioni date in sharedfolders tranne uno. Una cartella è condivisa in r/w per 2 gruppi e in sola lettura per un altro. Però quest'ultimo riesce a accedere tranquillamente in scrittura e creazione sulla stessa. In sharedfolder da pannello web ho spuntato r/w per i due gruppi con accesso completo e solo r per quello in accesso in sola lettura. Quando ho modificato manualmente smb.conf il problema, anche se x poco, si era risolto. Ho sbagliato qualcosa?
Ciao
Antonio

« Last Edit: September 28, 2010, 01:20:14 AM by antoniocangiano76 »

Offline Stefano

  • *
  • 10,894
  • +3/-0
Re: autorizzazioni utente gruppi tramite ibay
« Reply #29 on: September 28, 2010, 09:45:00 AM »
ok, ho capito...in effetti è successo quello che hai preannunciato...dopo un pò nel file /etc/samba/smb.conf si sono annullate tutte le mie modifiche e la situazione è ritornata al punto di partenza.

lo supponevo.. e comunque, meglio adesso che dopo ;-)

Quote
Questa notte mi studierò il link http://wiki.contribs.org/SME_Server:Documentation:Developers_Manual, comunque ho capito come modificare il crontab tramite templates, ho cancellato le righe che avevo inserito manualmente, mi sono creato il file 35prova in /etc/e-smith/templates/etc/crontab, ho usato il comando expand-template e ho ritrovato il mio codice in automatico in /etc/crontab.

quasi tutto giusto.. il file devi crearlo in /etc/e-smith/templates-custom/etc/crontab (e devi anche creare la dir se non esiste)

Quote
Grazie alle tue indicazioni, ho anche eliminato la sezione [homes] in smb.conf senza cancellarla manualmente, anche se francamente non ho ben capito cosa è successo, non riesco a dare ancora un significato a quei comandi. In pratica ho creato la cartella /etc/e-smith/templates-custom/etc/smb.conf e all'interno di essa 3 file vuoti con i nomi che mi hai indicato, non capisco però dove trovo scritto che per non visualizzare gli account degli utenti devo usare proprio quei nomi, mentre la questione del crontab mi è abbastanza chiara.

il principio, una volta capito, è banale

SME non ha file di conf come tutte le altre distro, ma i file di conf vengono generati partendo dai template e dai valori che sono nei db di configurazione (al momento non ti interessa sapere cosa siano questi ultimi)

i file residenti in /etc/e-smith/templates sono quelli installati di default dal s.o. più quelli eventualmente aggiunti da pacchetti (rpm che si chiamano smeserver-* o e-smith-*); quei file non sono da toccare perchè, al primo aggiornamento di un rpm, le tue modifiche andrebbero perse
ecco che entra in gioco la customizzazione: in /etc/e-smith/templates-custom crei la stessa struttura di directory ed operi sui fragments, ovvero i file NNnomefile che, una volta espansi, danno origine al file di conf.

qui le cose, se vuoi, si complicano o, secondo me, diventano più interessanti: se tu crei un file che ha lo stesso identico nome di uno già esistente (come ti ho fatto fare io per le Homes), allora il contenuto di tale file va in override su quello originale.. nel nostro caso i file sono vuoti e quindi la parte relativa alle Homes non viene generata.. se invece crei un file con un nome che non ha corrispondenze, il contenuto di quel file viene aggiunto.. il dove, all'interno del file di conf,  dipende dai numeri iniziali (i fragments vengono elaborati in ordine alfabetico e quindi i numeri hanno un senso); questo, banalmente, lo hai già visto con crontab

Quote
Le condivisioni purtroppo non sono 3...ma 17 sul primo volume, 6 sul secondo e 4 sul terzo. totale -> 27 ...
Non è necessario che il cliente le modifichi però.

ma la cosa non è semplice, perchè il problema del link non è banale da risolvere.. si potrebbe con un template ad hoc, ma non è cosa che mi pare risolvibile in 2 minuti; in sostanza, sarebbe da associare adlle shares un ulteriore parametro, e sulla base di quello, tramite un custom template, modificare il percorso

mi spiego: supponiamo di lavorare con gli ibay e non con il contrib (ma il ragionamento è assolutamente analogo)

si potrebbe associare con
Code: [Select]
db accounts setprop nomeibay mypath mnt1

all'ibay nomeibay un parametro mypath di valore mnt1

tramite un custom template si usa tale parametro per generare i path delle condivisioni.. mi sono spiegato?

Quote
Mi è rimasto il problema che quando i client XP aprono una cartella vedono il link simbolico e devono entrarci per poter scrivere i dati sul volume corrispondente mentre dovrebbero trovarsi già dentro. Posso creare dei collegamenti direttamente al link ma non mi sembra affatto una buona idea.

vedi sopra

Quote
Inoltre mi capita una cosa strana...tutti i diritti vengono rispettati secondo le impostazioni date in sharedfolders tranne uno. Una cartella è condivisa in r/w per 2 gruppi e in sola lettura per un altro. Però quest'ultimo riesce a accedere tranquillamente in scrittura e creazione sulla stessa. In sharedfolder da pannello web ho spuntato r/w per i due gruppi con accesso completo e solo r per quello in accesso in sola lettura. Quando ho modificato manualmente smb.conf il problema, anche se x poco, si era risolto. Ho sbagliato qualcosa?

domanda banale: per fare le prove hai sloggato l'utente windows/spento/riavviato il pc windows?