[Devel] noperm и монтирование samba
Dmitriy M. Maslennikov
=?iso-8859-1?q?maslennikovdm_=CE=C1_gmail=2Ecom?=
Пт Янв 16 22:58:21 MSK 2009
16 января 2009 г. 21:57 пользователь Vitaly Lipatov <lav на etersoft.ru> написал:
> В сообщении от 16 января 2009 Dmitriy M. Maslennikov написал(a):
>> Бага распухла до такой степени, что я не захотел отвечать в нее, а
>> решил продолжить дискуссию в рассылке.
> Это хорошо. Запишу для истории, что бага была
> http://bugs.etersoft.ru/show_bug.cgi?id=3239
>
>> > Я так думаю, что с noperm любой пользователь
>> > сможет читать любые файлы в /home.
>>
>> Я так не думаю. Эта опция лишь отключает проверку прав на клиенте,
>> целиком перенося ее на сервер. Сервер всегда контролирует права.
> Как сервер проверяет права, если пользователи с разными UID на локальной
> машине будут обращаться к одной точке монтирования?
Я так понимаю, что все обращения считаются обращениями от одного
пользователя, который и предоставил свой пароль. Все остальные нагло
пользуются его правами. И вообще samba об остальных ничего знать не
может, для нее есть ее локальные пользователи и какие-то удаленные. И
вот один из удаленных пользователей подключается к ней сообщая пароль
локального, после чего может работать. Именно как этот пользователь. Я
так понимаю, что корректно только монтировать домашние папки для
конкретных пользователей, а не всем одну home. Есть правда вариант
примонтировать домашнюю папку от имени рута (тогда он сможет делать
все), а правами будет заниматься локально модуль CIFS, как это
происходит в NFSv3.
>> Если синхронизации по uid, gid нет (и по тому в какие группы входит
>> пользователь тоже, то есть по всей авторизационной информации), то
>> клиент не может правильно рассчитать права. Получается ситуация, что
> Допустим, она есть. При этом проблемы не будет?
Нет так как права вычисляемые модулем будут совпадать с правами
вычисляемыми сервером, если нет неожиданных для Samb'ы и CIFS
расширений.
>> некоторые действия, разрешены на сервере, но CIFS-модуль считает, что
>> они запрещены и выдает permission denied, а некоторые считает, что
>> разрешены, а сервер выдает запрет. Сервер контролирует права в любом
> А почему в наших экспериментах ошибка зависит от интервала между операциями?
Вот уж не знаю. Может просто ошибки не связаны? Я просто про noperm
хотел упомянуть, чтобы мы все разобрались и одинакого понимали, что
это и зачем. Просто я его так понимал и Женя так понимает, а у вас я
так понял было другое мнение, так что надо разобраться.
То есть аутентифицироваться на Samba надо не просто для того, чтобы
иметь возможность примонтировать шару. Samba помнит кто
аутентифицировался и все операции далее совершаются от имени этого
пользователя. Правда есть еще нюанс с Share-level и User-level
режимами безопасности. Я сейчас не помню деталей, надо почитать
документацию.
--
Dmitriy M. Maslennikov
rlz на etersoft.ru
rlz на altlinux.org
maslennikovdm на gmail.com
master на armory.ru
Подробная информация о списке рассылки devel