Tervezett csoportok és jogaik Egy felhasználó vagy a user vagy a jht csoportba tartozik elsődlegesen. A többi csoport úgynevezett másodlagos. (Egy már meglévő felhasználót a adduser lajbi masik parancsal tehetünk be másodlagos csoportba.
Az alábbi táblázatban az r olvasási (read), a w írási (write), az x böngészési (browse) jogot jelent. Egy sor egy share, egy oszlop egy group.
|
Szavakkal elmondva: a user csoport tagjai elérhetik saját home
könyvtárukat írásra-olvasásra, és az anonymous ftp területet olvasásra.
A jht csoportnak van egy közös munkaterülete admin névvel.
A pusr (power user) csoport írhat is az alkalmazasok share-re.
Ők installálhatnak a kliensek számára programokat.
A tdk csoport hasonló a jht-hoz, de ők nem az admin-t
használják, hanem annak egy alkönyvtárát, tdk névvel.
Az efi share érdemel egy kis figyelemet. Ez senki számára nem
browse-olható, tehát csak úgy lehet elérni, ha valaki tudja hogy létezik,
és beírja, hogy \\jht\efi. Innentől
már a normális kapcsolódási eljárás folyik le.
Ezt megvalósító smb.conf így néz ki:
; Configuration file for jht. ; ============================================================================ ; For the format of this file and comprehensive descriptions of all the ; configuration option, please refer to the man page for smb.conf(5). ; ; last update: Lajbi 96.11.05 [global] server string = %h Jarmu- es Hotechnika tanszek, Samba %v workgroup = JARMUTECHNIKA printing = bsd printcap name = /etc/printcap load printers = yes guest account = guest security = user hosts allow = 192.188.244. 192.188.243. 192.188.245. domain logons = yes domain master = yes guest ok = no logon script = %G.bat max diks size = 120 log file = /usr/local/samba/var/log.%m lock directory = /usr/local/samba/var/locks share modes = yes os level = 34 remote announce = 192.188.243.255/JHT 192.188.245.255/JHT message command = /usr/bin/mail -s 'message from %f on %m' root < %s; rm %s ; sajat home konyvtar mindenkinek [homes] comment = Home directories browseable = no read only = no create mode = 0700 mangled map = (*.html *.htm) ; nyomtatas csak a jht es tdk csoportnak [printers] comment = All Printers path = /var/tmp browseable = no printable = yes public = no writable = no create mode = 0700 ; maganterulet valid users = @jht, @tdk ; kozos munkaterulet a jht group tagjainak, full access minden tagnak [admin] comment = Tanszek kozos dolgai path = /home/admin path = /home/admin valid users = @jht ; ok kapcsolodhatnak public = no writable = yes printable = no force user = admin force group = jht ; a letrehozott fájl-ok tulajdonosa admin.jht lesz create mode = 770 ; a csoport szabadon garazdalkodhat ; kozos munkaterulet a tdk group tagjainak, az [admin] resze! [tdk] comment = TDK-s hallgatok terulete path = /home/admin/tdk valid users = @tdk public = no writable = yes printable = no force user = admin force group = jht create mode = 770 ; dos/windoze binarisok a jht, tdk groupnak es guest usernek, de read-only ; pusr group irhat ra! [dosbin] comment = DOS es Windows alkalmazasok path = /home/jht/dosbin writable = no printable = no write list = @pusr valid users = @jht,@tdk force user = jht force group = jht ; ez a dosbin meg1x [alkalmazasok] copy = dosbin ;annon ftp terulet, de itt read-only az incoming is [anonftp] comment = JHT anonnymous ftp terulete path = /home/ftp/pub public = yes writable = no printable = no ; domain controller miatt [netlogon] comment = Domain Controller logon directory path = /home/jht/netlogon writable = no printable = no guest ok = yes write list = @pusr browseable = no force user = jht force group = jht ; ez itt nem browse-olhato, csak azoknak, akik tudnak rola :-) ; egy project altal hasznalt terulet ; efi: EFI project tagjainak (efi group) [efi] comment = EFI project path = /home/efiproject valid users = @efi public = no writable = yes printable = no force user = lajbi force user = lajbi force group = efi create mode = 770 browseable = no
A SaMBa a valid users opcióval szabályozza, hogy ki kapcsolódhat az adott share-hez. Az elindított smbd procces ugyanolyan jogokkal rendelkezik mint belépett felhasználó, vagy (ha van) a force user és force group előír. De ekkor még nem jelenti azt, hogy minden fájlt fölött uralkodik, mert a hagyományos UNIX-os jogosultságok érvényben vannak. Ez nem egyszerű, mert három szinten szabályozhatjuk a hozzáféréseket:
Ezért nézzünk még két konfigurációs fájlt.
Egy rövid /etc/passwd részlet:
lajbi:xxx:510:101:Lajber Zoltan,aula 120,1535,,:/home/lajbi:/bin/bash znagy:xxx:505:100:Nagy Zoltan:/home/znagy:/bin/bash czanik:xx:512:100:Czanik Andras,ELTE JTK,,,:/home/czanik:/bin/bash admin:xxx:1002:101:Tanszeki adminisztracio,aula 125,1430:/home/admin:/bin/bash jht:xxxxx:1003:101::/home/jht:/bin/bash fjuhasz:x:1008:100:Juhasz Ferenc,GM IV,,,:/home/fjuhasz:/bin/bash jritz:xxx:1013:100:Ritz Jozsef,GM V/8,C/4026,,:/home/jritz:/bin/bash guest:xxx:1016:109::/home/guest:/bin/true
és /etc/group részlet:
users:*:100: jht::101:lajbi,ari,jbeke,llaib,admin pusr::103:jht,lajbi tdk::104:znagy,tracz,losgyan,fjuhasz,horvath,jritz,bhamza,beno efi::107:lajbi,fjuhasz
Mivel a Linuxos gép tartományvezérlő is, szükség van a kliensek számára lefuttatható logon script-re is. Mivel az smb.conf-ban a logon script = %G.bat sor szerepel, a beléptetett felhasználó elsődleges csoport neve szerinti batch fájl fog elindulni. Ezek:
users.bat:
net use i: \\jht\homes /yes net use h: \\jht\tdk /yes net use w: \\jht\alkalmazasok /yes
jht.bat:
net use i: \\jht\homes /yes net use h: \\jht\admin /yes net use w: \\jht\alkalmazasok /yes