Нубский вопрос о правах

[Shatz07]

Коллеги, подскажите пожалуйста.
Я довольно слабо разбираюсь в юниксовых правах доступа, из-за этого имею следующую проблему: поднял FreeNAS, расшарил папку по AFP и CIFS, пользователи подключаются, авторизуются, содержимое папки видят и открывают, могут создавать, редактировать файлы, но не могут их удалять. Пока игрался с правами, я назначил (в терминале) этой папке владельца nobody и группу wheel, принудительно дал все права всем, что в этой схеме не так?) Раздел документации о юниксовых правах, маппинге и правах при аутентификации я не понял, подскажите, плз, как правильно сделать? И где я неправ. Кроме этого, у одного пользователя на маке возникла проблема: он создал папку, что-то там делал, и папка теперь определяется как файл, открываться на клиентской машине она не может, и переименовать/удалить пользователь её тоже не может. Скриншот последнего прилагаю.

 

[randreevich]

покажи скрин - какие права на папку и на корень массива.

 

[Shatz07]

Вот... Общая папка - work

 

[randreevich]

установи галочку "set permission"

 

[Shatz07]

Это понятно, вопрос же был, какие разрешения сейчас стоят. Ставил галочку и рекурсию тоже, нажимал apply несколько раз... Собственно, вот на скриншоте видно, что разрешения именно такие и стоят

 

[Shatz07]

Хотя, непонятно: на папки разрешения стоят такие, а на файлы, созданные пользователями - без права удаления. И это даже после того, как я применил разрешения

 

[randreevich]

если нужно, что бы все лазили в эту папку в полными правами, то зачем тогда авторизация? сделай ее гостевой.

 

[Shatz07]

Нет, нужно чтобы полный доступ имели только авторизовавшиеся пользователи. Разделять их по правам уже не нужно

 

[randreevich]

занеси юзеров в отдельную группу, дай им полные права на эту папку, а "Other" убери "Write", если без доступа, то в Other вообще убери галки и будет гууд

 

[Shatz07]

Смысл в том, чтобы левый человек, подключившись к сети, доступ к ресурсам получить не мог, а могли это сделать только пользователи, знающие свой логин-пароль

 

[randreevich]

см. пост выше. (отредактировал)

 

[Shatz07]

Сделал... Удалять файлы теперь пользователь может, но не может создавать ни файлы, ни папки... А "в отдельную группу" имеется ввиду в primary group или auxillary group?

 

[randreevich]

1. Создай свою группу: например "noobs" ))
2. В настройках каждого нуба пропиши "домашним каталогом" ту папку и выбрать "Основная Группа": noobs
3. "Режим Домашнего каталога" установи нужные права, т.е. владельцу и группе полные, а остальным (Other) - запретить все (снять галки);
4. В настройках тома (той папки) укажи владельцами группу "noobs" с соотв. правами.

Вроде должно работать.

 

[Shatz07]

Блин... Сделал, нубы могут создавать файлы, могут удалять их и папки, но не могут изменять файлы и создавать папки. Причём в атрибутах файла нет права на удаление... Ничего не понимаю

 

[randreevich]

епт, сделай все как написано выше и все будет!
еще раз: в настройках пользователей карина, писина, тупина, нубина - выбрать основной группой "noobs", это самой группе и пользователю разрешить все, остальным снять галки + не забыть проверить права в томе!

 

[Shatz07]

да так и сделано, суть мне понятна. И через CIFS всё работает как должно, проблемы с AFP. Похоже, придётся выпилить его нафиг и пускать маководов через CIFS

 

[mav@]

На сколько я знаю, расшаривать (особенно по записи) одну папку по разным протоколам не рекомендуется как раз из-за проблем с правами -- NFS использует обычные UNIX permissions, CIFS использует ACL (см. getfacl), что использует AFP -- не знаю, но тоже вроде как-то иначе устроено. Именно из-за этого на странице шары и есть выбор операционки.