|
|
51CTO旗下网站
|
|
移动端

6.3.3 行为控制(2)

《Linux服务器配置全程实录》第6章使用Samba配置文件服务器。Samba作为类UNIX系统和Windows的通信的桥梁,目前应用非常广泛,本章中讲解在RHEL下通过Samba配置文件服务器、打印服务器,PAM在Samba中的应用、异构环境相关内容。本节为大家介绍行为控制。

作者:张勤/杨章明来源:人民邮电出版社|2011-08-10 16:23

【51CTO技术沙龙】10月27日,让我们共同探索AI场景化应用实现之道

6.3.3  行为控制(2)

3.用户读写权限控制

用户在允许访问某共享资源的情况下,可以通过Samba对共享资源读写权限进行控制。在Windows中对一个位于NTFS分区中的共享文件夹有怎样的操作权限,由该文件夹的NTFS权限及共享权限共同起作用,两个权限中更严格的优先,如某用户对一个共享文件夹的NTFS权限为完全控制,共享权限为只读,那么这个用户通过网络访问该共享文件夹时的权限为只读。在Samba服务器也是这样,通过网络访问Samba服务器资源时,能否读写是通过文件或目录自身在文件系统中的权限与该文件或目录在Samba服务器配置的共同决定。如果希望某用户可以读或者写Samba服务的共享资源,首先要正确配置该用户对文件或目录自身文件系统中的权限。在图6-30所示的例子中,从Samba服务的配置来看,客户端使用tonyzhang用户通过认证后,应该是可以访问smbtest的共享目录的,但是请注意test目录自身文件系统中的权限中其他用户是无读取权限的。通过测试会发现tonyzhang用户无法访问这个共享目录。

 
图6-30  Samba权限与系统权限结合

配置目录自身权限以配合Samba服务器读写权限时可以直接使用chmod配置目录其他用户权限或通过ACL配置指定用户或组权限。通过chmod配置比较方便,但不够精细,因为所有通过Samba服务器访问的客户端Linux都会认为是其他用户,通过ACL配置时相对复杂一些,但对权限控制更加精细,所以推荐使用ACL配置。

用户能否写某个共享资源由以下几个参数决定(如配置为可写时要注意SELinux的配置,具体见6.3.1节)。

(1)readonly:是否将共享资源设置为只读。当readonly = yes时表示只读共享,readonly= no时表示不使用只读方式共享。

(2)read list:设置只读的用户或组(如果使用组时,需要在组名称前加@)。

  1. [smbtest]  
  2.      comment = This is smb test  
  3.      path = /test  
  4.      #允许tonyzhang及tomyang用户访问该共享目录时只读。  
  5.      read list = tonyzhang tomyang  
  6.      #允许sales组的所有用户访问该共享时只读。  
  7.      read list = @sales  

(3)writable:是否允许共享资源设置为可写。当writable = yes时表示可写,writable = no时表示不可写。

(4)write list:设置可写的用户或组(如果使用组时,需要在组名称前加@)。

  1. [smbtest]  
  2.      comment = This is smb test  
  3.      path = /test  
  4.      #允许tonyzhang及tomyang用户访问该共享目录时可写。  
  5.      write list = tonyzhang tomyang  
  6.      #允许sales组的所有用户访问该共享时可写。  
  7.      write list = @sales  

(5)force user:指定通过Samba服务器访问共享资源建立的文件或目录时的拥用者。下面的例子中任何有写权限的用户在通过Samba服务器访问共享资源时,建立的文件或目录的拥有组均为tonyzhang。

  1. [smbtest]  
  2.      comment = This is smb test  
  3.      path = /test  
  4.      force user = tonyzhang 

(6)group:指定通过Samba服务器访问共享资源建立的文件或目录时的拥用组。下面的例子中任何有写权限的用户在通过Samba服务器访问共享资源时,建立的文件或目录的拥有组均为sales。这个功能也可通过SGID实现。

  1. [smbtest]  
  2.      comment = This is smb test  
  3.      path = /test  
  4.      readonly = no 
  5.      group = sales 

当readonly、read list、writable及write users在对某一共享资源的设置发生冲突时,使用以下规则。

(1) readonly、writeable发生冲突时,在后面的参数优先。如下面例子中所有用户对smbtest不可写。

  1. [smbtest]  
  2.      comment = This is smb test  
  3.      path = /test  
  4.      readonly = yes 
  5.      writeable = no 

(2)readonly、write list发生冲突时,除write list指定用户可写外,其他用户只读。如下面例子中tonyzhang可写,其他用户只读。

  1. [smbtest]  
  2.      comment = This is smb test  
  3.      path = /test  
  4.      readonly = yes 
  5.      write list = tonyzhang 

(3)read list、writable发生冲突时,除read list指定用户只读外,其他用户可写。如下面例子中tonyzhang只读,其他用户可写。

  1. [smbtest]  
  2.      comment = This is smb test  
  3.      path = /test  
  4.      writable = yes 
  5.      read list = tonyzhang 

(4)read list、write list发生冲突时,write list优先。如下面例子中tonyzhang可写。

  1. [smbtest]  
  2.      comment = This is smb test  
  3.      path = /test  
  4.      write list = yes 
  5.      read list = tonyzhang 

(5)writeable = no时,write list的配置无效。如下面例子中tonyzhang及tomyang不可写。

  1. [smbtest]  
  2.      comment = This is smb test  
  3.      path = /test  
  4.      writeable = no 
  5.      write list = tonyzhang tomyang  

(6)同时配置writeable=yes、write list时writeable=yes无效。如下面例子中只有tonyzhang及tomyang可写。

  1. [smbtest]  
  2.      comment = This is smb test  
  3.      path = /test  
  4.      writeable = yes 
  5.      write list = tonyzhang tomyang  

当writeable、write list及readonly同时出现在一个共享资源时,最后的结果可根据上面提到的几个规则来判定是否可写,下面来看一个综合的例子,在这个例子中假设/test及/test1的自身权限为777。

  1. [smbtest]  
  2.      comment = This is smb test  
  3.      path = /test  
  4.      writeable = yes 
  5.      readonly = yes 
  6.      write list = tonyzhang tomyang  
  7.  
  8. [smbtest1]  
  9.      comment = This is smb test1  
  10.      path = /test1  
  11.      readonly = yes 
  12.      writeable = yes 
  13.      write list = @sales  

当以tonyzhang或tomyang身份访问smbtest时,是可写的。只有sales组的成员访问smbtest1时是可写。

【责任编辑:云霞 TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

黑客入侵的主动防御

本书是一本非常全面地讲述黑客入侵主动防御技术的网络安全工具书。本书的重点是介绍黑客的攻击手段和提供相应的主动防御保护措施,在组织结...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊