Topic: autorizzazioni utente gruppi tramite ibay

[antoniocangiano76]

Ciao, prima di tutto grazie per la spiegazione. Ora comincio a capirci qualcosa...
Ho apportato le modifiche che mi suggerisci per crontab, ho rifatto cioè gli stessi passaggi ma nella cartella templates-custom.
Quindi il file smb.conf viene generato "compilando" i vari frammenti che si trovano in /etc/e-smith/templates/etc/smb.conf (che non vanno modificati) + quelli che si trovano in /etc/e-smith/templates-custom/etc/smb.conf (che si possono modificare).
Mi sono posizionato nella cartella /etc/e-smith/templates/etc/smb.conf e ho aperto il file 90shares che sostanzialmente dice che per ogni share le assegnazioni sono impostate dai frammenti a loro volta contenuti nella cartella shares. (lo stesso accade nel file 90ibays con la cartella ibays).
Mi sono spostato allora nella cartella shares : 00Setup genera il nome e il commento della share, 15path definisce il percorso e dovrebbe essere il file che mi interessa...come percorso imposta /home/e-smith/files/shares/$key/files.
Io in questo caso penso di avere diverse  possibilità, almeno in linea teorica:
1) - modifico questo percorso (ma agendo dalla cartella templates-custom e ricreando cartelle e file necessari) impostando direttamente il volume di mount ma, dato che i mount sono 3 e le share 17, non saprei proprio come fare se non specificando singolarmente i percorsi.
2) - Potrei modificare il file 15path in modo che al percorso sia aggiunta /$key in questo modo :
DA /home/e-smith/files/shares/$key/files  diventa -> /home/e-smith/files/shares/$key/files/$key
perchè così dovrebbe puntare al link simbolico già presente nella cartella files di ciascuna share che ha lo stesso nome della share.
Quindi in /etc/e-smith/templates-custom/etc/smb.conf copio il file 90shares originale, creo la cartella shares e dentro creo un file 15path identico a quello di sistema ma con il percorso modificato come ho scritto prima. Poi signal-event ibay-modifiy e reboot.
A proposito signal-event ibay-modifiy vale anche per le shares?
3) - Creo per ogni share un nuovo parametro mypath come mi hai indicato. Quindi per esempio per una share che si chiama pippo con percorso in /mnt/dati1/pippo, dovrei scrivere : db accounts setprop pippo mypath /mnt/dati1/pippo. Poi potrei verificare con db accounts show pippo se l'operazione è andata a buon termine. In pratica assegno una variabile alla share e attribuisco ad essa il valore che mi interessa. E' giusta come interpretazione?
Poi creo sempre in templates-custom/etc/smb.conf il file 90shares, la cartella shares e in essa copio 15path e lo modifico assegnando come path il contenuto del paramatro mypath, anche se non sono sicuro di sapere come.

Ho fatto un pò di prove con il secondo metodo (l'unico del quale mi sento più o meno padrone) e in effetti funziona, ho verificato il file /etc/samba/smb.conf ....E' STATO MODIFICATO in automatico, ora al percorso di ogni singola share è stato aggiunto /nomeshare. Così facendo quando i client aprono la share si trovano direttamente dove voglio. Ho dovuto solo fare attenzione che i nomi dei link simbolici coincidessero con i nomi degli shares. Sicuramente non è il metodo migliore ma sono contento che funziona e di aver capito qualcosa, Grazie.
 
Ora riprovo quel problema dell'accesso in sola lettura e ti faccio sapere...

Antonio.

[Stefano]

non aggiungo/commento nulla, ma mi complimento con te per l'applicazione alla causa..

e si, una volta capito il procedimento, la cosa diventa più o meno banale

in bocca al lupo

[antoniocangiano76]

Crepi...
Una curiosità. Sembra tutto funzionare bene ma c'è una cosa non fondamentale che mi da fastidio.
Dal client mi sono loggato con un utente riconosciuto. Il client apre secondo i permessi le cartelle di pertinenza. Se prova ad aprire le altre, in alcuni casi Xp nega l'accesso per problemi relativi ai permessi (e fin qui tutto bene...), in altri richiede nome utente e password per effettuare l'accesso. Non sembra ci sia un nesso logico tra un caso e l'altro.
Il problema che mi pongo è che in primo luogo non è molto elegante come soluzione e poi se in qualche occasione "x" le credenziali vengono inserite, ritengo che le stesse siano "ricordate" nella cache di windows, attribuendo all'utente permessi di cui non dispone.
Non sono sicuro che accada questo, comunque è poco bello che il messaggio di errore non sia sempre lo stesso.

...forse il nesso logico l'ho trovato. Mi chiede le credenziali (quando invece dovrebbe darmi errore) quando cerco di aprire una share mai stata aperta da quall'utente e per la quale l'utente non dispone dei permessi. In Pratica se l'utente1 non dispone dei diritti sulla cartella PIPPO ma non l'ha mai aperta, la prima volta che cerca di aprirla si ritrova con la richiesta delle credenziali, poi x fortuna Xp si riprende e da errore. E' assurdo o cosa??????????

Antonio

 

[Stefano]

mmmhh...

ritengo che la modalità di client in workgroup faccia leggermente schifo..

con i client in dominio non ho mai avuto problemi del genere

inoltre, ti consiglio di installare smeserver-loginscripts (non ricordo se con o senza "s" finale)  per il mount automatico solo delle shares di competenza secondo l'utente/gruppo

infine, visto che con gli ibay puoi mettere "browseable" no e quindi non far vedere una share in rete, verifica se è possibile farlo anche con le sharedfolders..

in questo modo non hai questo problema, perchè l'utente deve sapere i nomi delle condivisioni

infine, se hai voglia di entrare in modalità bastard-inside, puoi attivare l'auditing di samba...

[antoniocangiano76]

Ciao, mi è rimasto un ultimo (spero...) problema.
Penso che ci sia un bug nella gestione di sharedfolders oppure manca a me qualche tassello per capire il tutto.
Ho una share chiamata "amministraz" per  la quale il gruppo "a" e il gruppo "f" hanno accesso il r/w mentre il gruppo "b" (che è costituito da un solo utente "sfregolaa") ha accesso in sola lettura. Da pannello ho spuntato r/w per i gruppi "a" e "f", ho poi spuntato "sola lettura" per il gruppo "b".
Quando dal client mi loggo con l'utente sfregolaa (l'unico del gruppo "b") mi permette l'accesso completo alla share, posso anche scrivere. Perchè accade questo?
E' possibile modificando una template impedirlo? Come? Magari inserendo una read list?

Antonio.

[Stefano]

se c'è un bug, devi segnalarlo in bugzilla.. se magari trovi anche il dove sia e proponi la patch è anche meglio

parlando seriamente, sharedfolders usa le acl, quindi devi/puoi  usare i comandi come getfacl per avere uno schema dei permessi.. e capire dove è l'errore

man getfacl e google per more info (non uso tale pratica, provata una volta e poi abbandonata, per altri motivi)

[antoniocangiano76]

Ciao, grazie ancora x il consiglio.
Ho verificato il comando setfacl e ho cercato di adattarlo ai miei scopi...una cartella (/mnt/dati2/amministraz) deve essere in r/w per i gruppi "a" e "f" mentre deve essere in sola lettura per il gruppo "b" (costituito dal solo utente sfregolaa), gli altri non devono accedere.
Impostando da sharedfolders ottengo che tutti e 3 i gruppi accedono in rwx. Anche il gruppo "b" può scrivere...
Innanzi tutto quando verifico con getfacl i permessi della cartella,  prima di apportare modifiche, mi dice che :
owner : root
gruop : root
user::rwx
gruop:rwx
other::rwx
Però nella cartella dei permessi sono già stati inseriti dal pannello web delle sharedfolders e funzionano bene (tranne la sola lettura per il gruppo b). Perchè non vengono visualizzati?
Ho verificato anche per le altre cartelle e ... stessa cosa...da riga di comando come è possibile verificare i permessi assegnati da pannello di sharedfolders?
Comunque ho eseguito

Code: [Select]

setfacl -m u:sfregolaa:r /mnt/dati2/amministraze verificando con getfacl mi ha aggiunto :
user:sfregolaa:r--     (che dovrebbe andare bene, o eventualmente r-x)
Se da client apro la cartella ottengo un bel msg di errore per mancanza di autorizzazioni.
Eseguiendo da SME

Code: [Select]

setfacl -m u:sfregolaa:rwx /mnt/dati2/amministraz sul client torna tutto come prima.
Perchè ?

Antonio.

[Stefano]

Code: [Select]

setfacl -m u:sfregolaa:r /mnt/dati2/amministraze verificando con getfacl mi ha aggiunto :
user:sfregolaa:r--     (che dovrebbe andare bene, o eventualmente r-x)
Se da client apro la cartella ottengo un bel msg di errore per mancanza di autorizzazioni.
Eseguiendo da SME

Code: [Select]

setfacl -m u:sfregolaa:rwx /mnt/dati2/amministraz sul client torna tutto come prima.
Perchè ?

perchè potrebbe esserci un bug: apri un bug in bugzilla o, se preferisci (qui lo dico e qui lo nego), contatta lo sviluppatore direttamente.. trovi i riferimenti, se non ricordo male, nella pagina wiki del contrib

[antoniocangiano76]

Ok, farò la segnalazione...
mi aiuti a capire una cosa...mi sono studiato per bene (spero...) le ACL. 
la getfacl della cartella in questione è:
# file: /mnt/dati2/amministraz
# owner: root
# group: root
user::rwx
user:sfregolaa:r--
group::rwx                  #effective:r-w
group:g2:r--
mask::r-x
other::rwx
Ho dei dubbi specifici su come SME gestisce i permessi.
Ho notato che se digito groups, vengono visualizzati alcuni gruppi di sistema ma non quelli che ho inserito io; la stessa cosa succede se digito users.  Mi è venuto il dubbio che potesse essere questo un motivo...ma forse non centra niente...
Con sharedfolders da pannello si impostano dei permessi per le singole shares, da riga di comando come posso verificare questi permessi? C'è un comando, tipo db ? Magari lo stesso che potrebbe permettermi di effettuare altre modifiche?
Quando utilizzo setfacl, cosa accade? I permessi di setfacl (tra questi non appaiono quelli impostati da pannello con sharedfolders) vengono combinati con quelli impostati da pannello con un criterio OR, o cosa?
Aiutami, penso di essere arrivato ad un punto morto.
Ciao

Antonio

[Stefano]

mi dispiace, ma non uso sharedfolders e l'ultima volta che ho guardato le acl doveva essere il 2007, quindi ne sai più di me..

ti consiglio di chiedere lumi al responsabile del contrib

[antoniocangiano76]

ok, lo farò.
Giusto per curiosità, in una situazione come la mia, cosa avresti usato al posto di sharedfolders?

Mi 6 stato di un grandissimo aiuto, grazie x tutto.

Antonio.

[Stefano]

Giusto per curiosità, in una situazione come la mia, cosa avresti usato al posto di sharedfolders?

se avessi la necessità di differenziare i permessi di accesso su delle shares in modo complesso (i.e. relativamente a più gruppi) non potrei fare diversamente da te; al momento non ci sono alternative

in bocca la lupo

[antoniocangiano76]

Ciao, ho fatto come mi hai consigliato.
Mi sono rivolto al forum in lingua inglese che mi ha consigliato di segnalare il bug, cosa che prontamente ho fatto.
Comunque non mi sono rassegnato...se un problema non si può risolvere...si può aggirare.
Semplicemente mi sono creato 2 frammenti in /etc/e-smith/templates-custom/etc/smb.conf : 91ammini e 92uti nei quali ho trascritto
la sezione delle singole share usando le write list e le read list. Poi ho lanciato signal-event ibay-modify e ho verificato i cambiamenti nel file /etc/samba/smb.conf. Naturalmente ho cancellato le share da pannello.
In questo modo non ho dovuto nemmeno più utilizzare i collegamenti simbolici, come facevo prima, ho impostato direttamente il percorso corretto nella sezione della share.
Certo presenta lo svantaggio che se il cliente varrà un domani crearsi da solo una share con accesso in sola lettura per un utente/gruppo non sarà in grado di farlo e dovrà chiamare me, ma tuttosommato è un compromesso accettabile.
Una curiosità...usando le templates-custom in questo caso ho aggiunto una sezione a smb.conf, è possibile modificarne una già esistente (esempio...se volessi modificare il percorso della path di una share) aggiungendo una o + righe o modificando quelle esistente. Come?
Grazie per le tue risposte e per avermi fatto appassionare a SME.
Ciao.
Antonio

[Stefano]

Ciao, ho fatto come mi hai consigliato.
Mi sono rivolto al forum in lingua inglese che mi ha consigliato di segnalare il bug, cosa che prontamente ho fatto.

bravo

Comunque non mi sono rassegnato...se un problema non si può risolvere...si può aggirare.
Semplicemente mi sono creato 2 frammenti in /etc/e-smith/templates-custom/etc/smb.conf : 91ammini e 92uti nei quali ho trascritto
la sezione delle singole share usando le write list e le read list. Poi ho lanciato signal-event ibay-modify e ho verificato i cambiamenti nel file /etc/samba/smb.conf. Naturalmente ho cancellato le share da pannello.
In questo modo non ho dovuto nemmeno più utilizzare i collegamenti simbolici, come facevo prima, ho impostato direttamente il percorso corretto nella sezione della share.
Certo presenta lo svantaggio che se il cliente varrà un domani crearsi da solo una share con accesso in sola lettura per un utente/gruppo non sarà in grado di farlo e dovrà chiamare me, ma tuttosommato è un compromesso accettabile.

allora.. devo fare un chiarimento di base: SME, alla fin fine, è una macchina Centos fortemente customizzata ed integrata.. ma è linux..

ciò significa che, ad esempio, posto che tu non voglia più usare per certe cose il server-manager, puoi crearti il tuo file di conf (ad esempio per samba), spezzettarlo nei fragments ed usare quello.. so far, so good..

c'è gente che usa 3 interfaccie di rete e milemila cambiamenti.. chiaramente se fai un cosa del genere non è più SME e non puoi venire a chiedere supporto qui..

Una curiosità...usando le templates-custom in questo caso ho aggiunto una sezione a smb.conf, è possibile modificarne una già esistente (esempio...se volessi modificare il percorso della path di una share) aggiungendo una o + righe o modificando quelle esistente. Come?

come detto, devi prendere il fragment NNpippo e copiarlo nella analoga directory sotto templates-custom.. poi lo modifichi a piacimento.. lui va in override su quello che è scritto in /templates

Grazie per le tue risposte e per avermi fatto appassionare a SME.

di nulla.. sto sempre aspettandoti su skype

[Fumetto]

...Certo presenta lo svantaggio che se il cliente varrà un domani crearsi da solo una share con accesso in sola lettura per un utente/gruppo non sarà in grado di farlo e dovrà chiamare me, ma tuttosommato è un compromesso accettabile.

Per certi versi questo potrebbe essere un bene per te...