[Devel] noperm и монтирование samba

Vitaly Lipatov =?iso-8859-1?q?lav_=CE=C1_etersoft=2Eru?=
Пт Янв 16 22:32:09 MSK 2009


В сообщении от 16 января 2009 Evgeny Sinelnikov написал(a):
...
> > Как сервер проверяет права, если пользователи с разными UID на локальной
> > машине будут обращаться к одной точке монтирования?
> на основании uid'а пользователя на сервере, на который мапится
> вошедший пользователь... Для force user = User  - работа ведётся
Откуда взялась идея, что uid мапится на что-то другое? У нас по умолчанию 
включен LinuxExtensions, и uid соответствует на сервере и клиенте. Разве при 
LinuxExtensions может быть проблема с несоответствием? Или я недопонял?


> именно под этим пользователем... Если force user не установлен, то
> работа ведётся из под того, под кем залогинились... его uid
Да, сам процесс smbd для шары под ним запускается.

> используется при вычислении прав на файловой системе сервера поверх
> тех прав, которые прописаны в настройках шары.
>
> То есть ограничения двухуровневые:
> - на уровне доступа к шаре
> - на уровне доступа к файлам на файловой системе для вошедшего
> пользователя...
>
> именно поэтому не удобно давать без force user шару в хомячке, ибо
> тогда нужно права на запуск в домашний каталог давать всем, либо всех,
Что за шара в хомячке?
Я правильно понимаю, что одной точкой монтирования невозможно 
подключить /home, содержащий каталоги разных пользователей, с тем, чтобы на 
локальной машине они все могли работать в своих каталогах?

> >> Если синхронизации по uid, gid нет (и по тому в какие группы входит
> >> пользователь тоже, то есть по всей авторизационной информации), то
> >> клиент не может правильно рассчитать права. Получается ситуация, что
> >
> > Допустим, она есть. При этом проблемы не будет?
>
> Да, синхронизация даст много плюсов... Эта часть в первую очередь
> отличает Tartarus от AD... У AD есть ряд костылей, но в целом
> однозначно мапить sid'ы всё равно не удастся... Самый прямой путь -
> держать соответствие в LDAP, а для этого схему расширять нужно, чна
> что не все готовы пойти....
Эта идея о использовании CIFS совместно с Tartarus появилась вчера, или она 
уже может быть сформулирована на wiki?

> >> некоторые действия, разрешены на сервере, но CIFS-модуль считает, что
> >> они запрещены и выдает permission denied, а некоторые считает, что
> >> разрешены, а сервер выдает запрет. Сервер контролирует права в любом
> >
> > А почему в наших экспериментах ошибка зависит от интервала между
> > операциями?
>
> Я думаю, что это бага CIFS при использовании uid'ов... На самом деле
> всё должно работать... такое ощущение, что сразу после создания
> каталога uid=user некорректно отдаёт реальный uid, вместо
> подставного....


-- 
С уважением,
Виталий Липатов
Россия, Санкт-Петербург. www.etersoft.ru
GNU! ALT Linux Team! WINE! WIKI! LaTeX! LyX!


Подробная информация о списке рассылки devel