[Devel] noperm и монтирование samba

Evgeny Sinelnikov =?iso-8859-1?q?sin_=CE=C1_etersoft=2Eru?=
Пт Янв 16 22:16:28 MSK 2009


16 января 2009 г. 21:57 пользователь Vitaly Lipatov <lav на etersoft.ru> написал:
> В сообщении от 16 января 2009 Dmitriy M. Maslennikov написал(a):
>> Бага распухла до такой степени, что я не захотел отвечать в нее, а
>> решил продолжить дискуссию в рассылке.
> Это хорошо. Запишу для истории, что бага была
> http://bugs.etersoft.ru/show_bug.cgi?id=3239
>
>> > Я так думаю, что с noperm любой пользователь
>> > сможет читать любые файлы в /home.
>>
>> Я так не думаю. Эта опция лишь отключает проверку прав на клиенте,
>> целиком перенося ее на сервер. Сервер всегда контролирует права.
> Как сервер проверяет права, если пользователи с разными UID на локальной
> машине будут обращаться к одной точке монтирования?
>

на основании uid'а пользователя на сервере, на который мапится
вошедший пользователь... Для force user = User  - работа ведётся
именно под этим пользователем... Если force user не установлен, то
работа ведётся из под того, под кем залогинились... его uid
используется при вычислении прав на файловой системе сервера поверх
тех прав, которые прописаны в настройках шары.

То есть ограничения двухуровневые:
- на уровне доступа к шаре
- на уровне доступа к файлам на файловой системе для вошедшего пользователя...

именно поэтому не удобно давать без force user шару в хомячке, ибо
тогда нужно права на запуск в домашний каталог давать всем, либо всех,
кто может иметь доступ к шаре или дополнительно включать в группу,
которая задана для домашнего каталога.... И так для каждого уровня
вложенности каталогов....

>> И вообще было бы странно если бы любой клиент мог отключить проверку
>> прав на сервере, не так ли?
>>

Воторой, вышеуказанный уровень обеспечивает ограничение доступа при
работе через noperm...

>> > > глючить, если нет синхронизации по uid, или
>> >
>> > Глючить не должно в любом случае. Должно
>> > работать ожидаемо.
>> > Если есть глюки, их надо нанести на карту.
>>
>> Если синхронизации по uid, gid нет (и по тому в какие группы входит
>> пользователь тоже, то есть по всей авторизационной информации), то
>> клиент не может правильно рассчитать права. Получается ситуация, что
> Допустим, она есть. При этом проблемы не будет?
>

Да, синхронизация даст много плюсов... Эта часть в первую очередь
отличает Tartarus от AD... У AD есть ряд костылей, но в целом
однозначно мапить sid'ы всё равно не удастся... Самый прямой путь -
держать соответствие в LDAP, а для этого схему расширять нужно, чна
что не все готовы пойти....

>> некоторые действия, разрешены на сервере, но CIFS-модуль считает, что
>> они запрещены и выдает permission denied, а некоторые считает, что
>> разрешены, а сервер выдает запрет. Сервер контролирует права в любом
> А почему в наших экспериментах ошибка зависит от интервала между операциями?
>

Я думаю, что это бага CIFS при использовании uid'ов... На самом деле
всё должно работать... такое ощущение, что сразу после создания
каталога uid=user некорректно отдаёт реальный uid, вместо
подставного....

-- 
Sin (Sinelnikov Evgeny)


Подробная информация о списке рассылки devel