https://www.opennet.ru/openforum/vsluhforumID14/2770.html Здравствуйте!<br>Для каждого отдела создана своя группа: div1, div2, ....<br>В группах созданы пользователи:<br>div1: d1user1, d1user2, ...<br>div2: d2user1, d2user2, ...<br><br>Есть шара, в которой созданы папки. Доступ к папкам разделён по группам (т.е. владельцами папок установлены соответствующие группы):<br>folder1 - div1<br>folder2 - div2, ... <br>На папки выставлены права 775.<br>Пользователи отделов имеют полный доступ к своим папкам и доступ только-чтение к папкам других отделов.<br><br>Внутри папки folder1 есть папка exception.<br>К этой папке нужно дать полный доступ пользователям из разных групп (пусть это будут пользователи d1user1, d2user2).<br><br>Думал сделать так: создаём ещё одну группу sharedgroup (далее сокращенно sg), в неё добавляем пользователей d1user1 и d2user2.<br>Владельцем папки folder1/exception делаем группу sg, на папку устанавливаем права 770.<br>Беда в том, что в папку folder1/exception всё равно могут вносить изменения пользователи группы div1.<br>Как ограничить доступ к этой вложенной папке лишь определённому https://www.opennet.ru/openforum/vsluhforumID14/2770.html#5 Mon, 10 Mar 2025 15:27:16 GMT &gt; Какие могут быть альтернативы? На винду переходить?<br><br>Думалось, что на самбе из-за винды и сидите.<br>Тогда почему бы не NFS?<br>Я как любитель SSH пошёл по пути SSHFS, что костыли, да, но мне так проще разграничивать доступ и хоть какая-то надежда на безопасность. А хомячки будут жрать что дают, никуда не денутся)<br><br> https://www.opennet.ru/openforum/vsluhforumID14/2770.html#4 Mon, 10 Mar 2025 10:45:59 GMT &gt; То, что ты хочешь, нужно решать установкой расширенных списков контроля доступа (ACL) <br>&gt; для файлов и каталогов. Читай про утилиту setfacl и <br>&gt; getfacl <br>&gt; Но это сложновато, в плане тестов прав тоже не просто, повторюсь <br>&gt; лучше избежать этого.<br><br>Ув. @ipmanyak, спасибо Вам большое!<br>Именно из-за extended ACL права и работали не так, как указано обычным linux-правами.<br>Extended ACL уже были назначены на папку. Почитал помощь с Убунты, мануал по setfacl/getfacl и всё получилось.<br>Вроде не сложно и очень даже гибко - можно кому угодно любые права на файлы/папки назначать.<br> https://www.opennet.ru/openforum/vsluhforumID14/2770.html#3 Mon, 10 Mar 2025 05:21:29 GMT &gt; Каким образом пользователи без группы sharedgroup могут вносить изменения в папку с <br>&gt; группой sharedgroup?<br><br>Вот это и не понятно, собственно вопрос в этом и есть. Как пользователь, не относящийся к группе может записывать в папку, где права выставлены 770 (и ещё раз - пользователь не входит в группу, которая является владельцем папки).<br><br>&gt;Вот и думай.<br><br>Думал, уже думалку сломал - потому и пишу сюда<br><br>&gt; Советовать выкидывать samba не буду, сам решишь.<br><br>Какие могут быть альтернативы? На винду переходить?<br> https://www.opennet.ru/openforum/vsluhforumID14/2770.html#2 Sat, 08 Mar 2025 13:13:39 GMT &gt; Беда в том, что в папку folder1/exception всё равно могут вносить изменения пользователи группы div1.<br><br>Каким образом пользователи без группы sharedgroup могут вносить изменения в папку с группой sharedgroup? Вот и думай.<br>Советовать выкидывать samba не буду, сам решишь.<br> https://www.opennet.ru/openforum/vsluhforumID14/2770.html#1 Tue, 04 Mar 2025 15:25:22 GMT &gt; Буду благодарен любым советам!<br><br>Совет простой, лучше вынести папку exeption в отдельную самостоятельную папку и шару и дать права тем кому нужно, лучше группу создать отдельную. Чем проще, тем лучше и спокойнее живется админу. Избегай этого всегда. Хотелки юзеров в этом плане лучше сразу пресекать на корню, мотивацию сам придумай. <br>Если такие вещи не документировать (права на вложенные папки), то при миграции папок в другое место или на другой сервер, об этом никто не вспомнит. А если придет другой админ, то он вообще об этом знать не будет. <br><br>То, что ты хочешь, нужно решать установкой расширенных списков контроля доступа (ACL) для файлов и каталогов. Читай про утилиту setfacl и getfacl<br>Но это сложновато, в плане тестов прав тоже не просто, повторюсь лучше избежать этого.<br><br>Небольшой ликбез есть здесь https://help.ubuntu.ru/wiki/access_control_list<br>статьи получше сам найдешь, если захочешь.<br>