Julia Dronova (administrator) писал(а):

Подскажите, пожалуйста или подскажите, где искать, как лучше или как правильно в линуксе настройть разрешения для файлов каталога для разных групп пользователей:

1. полный доступ;

2. только чтение;

3. чтение и изменение без удаления;

4. чтение, создание без удаления и изменения;

5. чтение, создание и изменение без удаления.

плюс варианты разрешения и запрета создания каталогов

chmod, chown - стандартные инструменты.

acl (setfacl и иже с ним) помогают более гибко управлять правами. Требует поддержки со стороны файловой системы. Например http://wildarcher7.wordpress.com/2008/06/28/acl... и http://www.gentoo.ru/node/9488#comment-64988

Насчет вложенности групп: Win-модель скорее всего не прокатит.

Viktor писал(а):

Вот еще здесь можно глянуть http://wiki.kryukov.biz/wiki/POSIX_ACL

А еще можно попробовать стандартными настройками самбы.

[global]
   workgroup = SERV
   netbios name = server
   server string =
   load printers = No
   log file = /var/log/samba/log.%m
   max log size = 50
   log level = 3
   hosts allow = 127. 192.168.0. 192.168.1.
   security = user
   unix password sync = Yes
   local master = No
#   os level = 64
   domain master = No
   preferred master = No
   domain logons = No
   wins support = No

[homes]
   comment = Home Directory for '%u'
   browseable = no
   writable = yes

[adm]
 path = /var/lib/alterator/samba/adm
    browseable = no
    writable = no
    valid users = @admin
    write list = @admin
    create mask = 0660
    directory mask = 0770
    force user = bid
    force group = admin

[Библиотека]
 path = /var/lib/alterator/samba/Библиотека
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss @child
    write list = sham @admin
    create mask = 0644
    directory mask = 0755
    force user = sham
    force group = teacher

[Бухгалтер]
 path = /var/lib/alterator/samba/Бухгалтер
    browseable = yes
    writable = no
    valid users = @admin @boss
    write list = dlp setv @admin
    create mask = 0644
    directory mask = 0755
    force user = dlp
    force group = boss

[Видеостудия]
 path = /var/lib/alterator/samba/Видеостудия
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss @child
    write list = btv @admin
    create mask = 0644
    directory mask = 0755
    force user = btv
    force group = teacher

[Воспитательная работа]
 path = /var/lib/alterator/samba/Воспитательная_работа
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss
    write list = fsv @admin
    create mask = 0644
    directory mask = 0755
    force user = fsv
    force group = teacher

[Директор]
 path = /var/lib/alterator/samba/Директор
    browseable = yes
    writable = no
    valid users = @admin @boss
    write list = klv @admin
    create mask = 0644
    directory mask = 0755
    force user = klv
    force group = boss

[Дополнительное образование]
 path = /var/lib/alterator/samba/Дополнительное_образование
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss
    write list = fsv @admin
    create mask = 0644
    directory mask = 0755
    force user = fsv
    force group = teacher

[Избранное]
 path = /var/lib/alterator/samba/Избранное
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss @child
    write list = @admin
    create mask = 0644
    directory mask = 0755
    force user = bid
    force group = teacher

[Методика и инновации]
 path = /var/lib/alterator/samba/Методика_и_инновации
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss
    write list = siv @admin
    create mask = 0644
    directory mask = 0755
    force user = siv
    force group = teacher

[Охрана труда]
 path = /var/lib/alterator/samba/Охрана_труда
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss
    write list = pia @admin
    create mask = 0644
    directory mask = 0755
    force user = pia
    force group = teacher

[Предметы]
 path = /var/lib/alterator/samba/Предметы
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss @child
    write list = @admin
    create mask = 0644
    directory mask = 0755
    force user = bid
    force group = teacher

[Прессцентр]
 path = /var/lib/alterator/samba/Прессцентр
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss @child
    write list = lvf @admin
    create mask = 0644
    directory mask = 0755
    force user = lvf
    force group = teacher

[Психолог]
 path = /var/lib/alterator/samba/Психолог
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss @child
    write list = kmn @admin
    create mask = 0644
    directory mask = 0755
    force user = kmn
    force group = teacher

[СПВ]
 path = /var/lib/alterator/samba/СПВ
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss
    write list = mlg @admin
    create mask = 0644
    directory mask = 0755
    force user = mlg
    force group = teacher

[СПО]
 path = /var/lib/alterator/samba/СПО
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss @child
    write list = @admin
    create mask = 0644
    directory mask = 0755
    force user = bid
    force group = teacher

[Секретарь]
 path = /var/lib/alterator/samba/Секретарь
    browseable = yes
    writable = no
    valid users = @admin @boss
    write list = shna @admin
    create mask = 0644
    directory mask = 0755
    force user = shna
    force group = boss

[Соболята и АУМ]
 path = /var/lib/alterator/samba/Соболята_и_АУМ
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss @child
    write list = veg @admin
    create mask = 0644
    directory mask = 0755
    force user = veg
    force group = teacher

[Учебная работа]
 path = /var/lib/alterator/samba/Учебная_работа
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss
    write list = smn @admin
    create mask = 0644
    directory mask = 0755
    force user = smn
    force group = teacher

[Фотоархив]
 path = /var/lib/alterator/samba/Фотоархив
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss @child
    write list = @admin
    create mask = 0644
    directory mask = 0755
    force user = bid
    force group = teacher

[ЭУМ]
 path = /var/lib/alterator/samba/ЭУМ
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss @child
    write list = @admin
    create mask = 0644
    directory mask = 0755
    force user = bid
    force group = teacher

[Экзамены]
 path = /var/lib/alterator/samba/Экзамены
    browseable = yes
    writable = no
    valid users = @admin @teacher @zam @boss @child
    write list = smn @admin
    create mask = 0644
    directory mask = 0755
    force user = smn
    force group = teacher

[Столовая]
 path = /var/lib/alterator/samba/Столовая
    browseable = yes
    writable = no
    valid users = @admin @boss
    write list = ulv @admin
    create mask = 0644
    directory mask = 0755
    force user = ulv
    force group = boss

Практически ничем не уступает групповой политике win-серверов.

Ирина Боркунова писал(а):

>Подключение сетевого диска осуществляется типа \\Server\Библиотека? У Вас сетевой путь включает кириллицу (если так, то - ИМХО не правильно) или это для общего понятия схемы?

Это реальный smb.conf. С кириллицей в сетевом пути были проблемы в ALT 4.0 Junior, а в ПСПО 5 все работает нормально. Это, конечно, не классика, но учитывая всеобщую русификацию забугорных продуктов :), решили оставить, как было на сервере win-2003.

>Хотелось бы посмотреть практический вариант запрета доступа к панели инструментов, запрета поиска и др., настроенный на определенную группу....

Если я правильно понимаю, то у нас все samba-пользователи, кроме администратора, созданы без оболочки (-s /sbin/nologin) и имеют права доступа, определенные smb.conf и не более того. И сервер, естественно, без всякой графики.

Полностью согласна насчет "групповой политики" - неудачное выражение, хотелось подчеркнуть, что создавая различные группы пользователей, можно достаточно гибко управлять доступом, не хуже, чем на win-сервере.

Ирина Боркунова писал(а):

А вообще каждый решает проблемы по своему, ориентируясь на опыте других... а так Linux обычная ОСь, только привыкать учителям приходится прям на месте (то есть они не имели возможности познакомится с Linux ранее), что не очень хорошо, а Win уже давно вошел в быт всех!

>>>Если я правильно понимаю, то у нас все samba-пользователи, кроме администратора, созданы без оболочки (-s /sbin/nologin) и имеют права доступа, определенные smb.conf и не более того. И сервер, естественно, без всякой графики.

Денис Квашнин писал(а):

Ирина Боркунова писал(а):

У нас школьный сервер ALT 4.1, на базе которого работает samba-сервер, клиенты раньше были смешанные, а с начала года, бухгалтерия - win, все остальные - линукс. Все пользователи регистрируются дважды, на сервере - без права входа в систему (nologin), поэтому ничего натворить с настройками не могут, и на samba, где доступ определяется smb.conf. То о чем вы пишете, справедливо для win-серверов и может быть реализовано с помощью групповой политики, а зачем это в линукс, я действительно не понимаю.   

Ирина Боркунова писал(а):

Вероятно, мы говорим о разных вещах. У нас не терминальный сервер, а файловое хранилище на базе samba, а клиенты  - win и lin рабочие станции. На сервере нет никакой графики, все управление с командной строки. А на рабочих станциях, каждый пользователь - хозяин, в пределах допустимого. На lin-машинах, никто не знает пароль root, только пользовательские настройки (их, кстати, тоже можно ограничить режимом kiosk). На win-машинах пользовательские права определены настройкой групповой политики, в частности, запрет на установку программ, автозапуск и пр. 

Ирина Боркунова писал(а):

В ПСПО 5 сетевые ресурсы монтируются автоматически в папку /.gvfs домашнего каталога, с помощью программы gigolo.

Ирина Боркунова писал(а):

Скажите, пожалуйста, для организации доступа учителей на компьютеры учеников корректно ли добавить учителя в группу ученика, корректно ли будет учителю быть членом примерно 50 групп?

Денис Квашнин писал(а):

по-моему, в линуксе вообще нет групповой политики, так же как и в win for workggroup..., хотя бы потому, что минимальная групповая политика включает политику компьютера, домена и контроллера домена, причем в нормальной иерархии.

Скажите, пожалуйста, useradd может добавить в группу уже существующего пользователя по ключу -G? У меня говорит в альт 5.0.2 что узер уже екзист. :( смотрел в мане и по  консольному --help - в чем может быть причина?

Для добавления в группу существующего пользователя, надо использовать usermod

Андрей Ивницкий писал(а):

man useradd

useradd - регистрирует нового пользователя или изменяет информацию по умолчанию о новых пользователях

Где здесь про "если в справке команда называется добавление или изменение"?

Читайте маны внимательнее

Андрей Ивницкий писал(а):

Андрей Ивницкий писал(а):