[Softlibre-edugal] Consulta sobre seguridade en Samba.

[Manuel Moran Vaquero]

Hola Vicente:

Buena pregunta :)

El 5/04/08, Vicente Martinez de Cestafe Ochoa de Eribe
<gomaran en gmail.com> escribió:
>
> A pregunta é ¿estades a usar POSIX ACLs, si ou non?.

Mi respuesta es "no", pero sí me he planteado en algún momento la
posibilidad de ponerlo. Necesita una reflexión profunda sobre las
consecuencias y sus ventajas reales a la hora de trabajar con samba. O
lo que es lo mismo: si los permisos UNIX son suficientes para el
entorno en el que lo vas a poner o necesitas ACLs.

Tu mismo apuntas una de las razones principales para no ponerlo y es esta:

>   pódense definir ACLs dende o cliente Windows que o samba traduce a ACLs
> POSIX (ainda que pode que non sexa tanta vantaxe: despista bastante ós
> usuarios de Windows, porque hai combinacións exotéricas que non se poden
> establecer)

¡Exactamente! Y todo esto para operaciones que en un altísimo
porcentaje de los casos, si no el 100%, se pueden resolver con
permisos UNIX en nuestro entorno (servidor del IES).

Esto por no hablar de la cantidad de ciclos de reloj que consumes con
ACLs frente a la simpleza de los permisos UNIX.

Otras razones que yo tengo para no implantarlo (en mi entorno del IES) es:

- Se puede dar respuesta a nuestras necesidades con permisos UNIX. Por
ejemplo las carpetas compartidas se ajustan con permiso g+s y los
profes saben que si quieren crear una carpeta de entrega de ejercicios
tienen que poner permiso 2777. Los informáticos lo hacen por terminal
y los no-informáticos en general con KDE o winscp que es gráfico.

- Implantar ACLs impone un trabajo extra al administrador que implica
revisar todos sus procedimientos: ¿estoy ajustando bien los permisos
en esta subcarpeta? A veces arreglar cosas con un chmod -R es muy
fácil pero con ACLs, no ves igual de bien el resultado, porque son más
parámetros y por tanto no vale con un rápido ls -l para hacerse una
idea.

- Los permisos Windows no se corresponden en una relación uno-a-uno y
ajustarlos con el menú de Windows probablemente creará frustración en
los usuarios, que es exactamente lo que queremos evitar (pero al final
volvemos a estar en la misma porque no tenemos un NTFS por debajo,
sino un ext3)

- Los backups y las ACLs... ¿restauraré el sistema al estado original
si todo se viene abajo? ¿mi backup soporta ACLs?

Por supuesto esto no tiene que ver con la directiva profile acls que
debe ir activa en el share profiles y que no necesita soporte de ACLs
en el sistema de ficheros (en fstab) pues es sencillamente para
simular las ACLs correctas frente a los Windows.

> Definir accesos en smb.conf con "write list", etc
> (http://www.logadmin.net/2007/01/un-mini-howto-de-los-permisos-en-samba_5333.html)
> Ou en /var/cache/samba/share_info.tdb mediante MMC dende un posto
> windows¿qué sistema usades para configurar a seguridade a nivel de
> compartición?.

Igual no entiendo muy bien la pregunta pero yo creo que puedes
solucionar esto con carpetas compartidas con setgid.

Espero que te haya servido.

Salu2

-- 
-------------------------------------------------------------------
Manuel Morán Vaquero (mmv en edu.xunta.es)
http://www.immv.es # PGP public key available