[Softlibre-edugal] Consulta sobre seguridade en Samba.

Manuel Moran Vaquero mmv en edu.xunta.es
Sab Abr 5 14:14:44 CEST 2008 

Hola Vicente:

2008/4/5, Vicente Martinez de Cestafe Ochoa de Eribe <gomaran en gmail.com>:
>
> O que me refería é que se quero engadir (ou prohibir acceso) para outros
> usuarios ou grupos que non sexan os propietarios podo facelo a nivel de
> compartición (ou recurso compartido) en smb.conf ou coa ulidade windows mmc.

Entiendo que quieres darle a un share, por ejemplo, permisos para
varios grupos, cosa que no puedes hacer con permisos UNIX y sí con
write list. Es verdad, pero a mi no se me han presentado casos que no
pueda resolver con un grupo que englobe a determinados usuarios de
varios grupos. Es fácil hacer nuevos grupos que incluyan a los
usuarios requeridos. Por supuesto hay casos en los que hay una
limitación, y para eso están las ACLs o ideas basadas en subcarpetas
con distintos permisos.

No sé si te sirve de algo, pero me arrepiento de haber hecho tantos
shares (tenemos: asignaturas, compartir profes, depto-informatica,
etc...). Son demasiadas unidades de red. Si volviera a empezar ahora
haría uno solo compartido y gestionaría con permisos todo lo de
dentro. Prefiero que sea Linux quien lo controle a darle esta labor a
samba.

> Por outra banda, non alcanzo a ver a utilidade do sticky bit s de grupo nos
> directorios...

Imagina un directorio compartido de material de asignaturas. Si los
permisos de grupo no se heredan (profes con permiso de escritura pero
sin bit g+s) nos encontraríamos con que:

- El profe no puede borrar el material escrito por sus alumnos en las
carpetas de entrega de trabajos

- Un profe sustituto/a no podría sin intervención del administrador
borrar o modificar el material (y lo mismo en la incorporación del
sustituido)

A veces los profes requieren carpetas de entrega de trabajos en las
que no pueda entrar nadie más que el alumno y el profe. Esto se
soluciona poniendo de poseedor al alumno y el grupo del profe con g+s.
Así todo lo que escribe el alumno inevitablemente tiene el grupo del
profe.

Son algunos ejemplos pero hay más. Ya digo que no es descartable usar
ACLs pero yo de momento no he conseguido convencerme de que el
esfuerzo de administración y la complejidad merezcan la pena, pero
esto es por supuesto opinable.

Además te podrás encontrar en diferentes IES con distintos modelos de
directorios. Nosotros nos basamos en una carpeta personal privada y
otras públicas donde el orden lo ponen los usuarios de forma
distribuida. En otros encontrarás cómo se gestiona de manera más
estricta el sistema de carpetas y sus permisos para mantener más
orden. Por supuesto es más trabajo. Al final como todo es un balance
de esfuerzo/resultados en el que hay que preguntarse si se es capaz de
afrontar el aumento de complejidad que te soliciten los usuarios, sin
merma en otros aspectos que sean más necesarios.

Salu2

-- 
-------------------------------------------------------------------
Manuel Morán Vaquero (mmv en edu.xunta.es)
http://www.immv.es # PGP public key available