Clark's Home page

Tecnicismi vari di un Sysadmin Linux ma anche qualcosa della sua vita

ACL uso per samba —

In questo periodo abbiamo migrato i server aziendali, doveva essere una cosa tutto sommato facile e si è in realtà rivelata un vero e proprio bagno di sangue, con risvolti che passano dal comico al grottesco.
È  però stata l’occasione per rivedere l’uso delle ACL che normalmente si settano una volta e poi mai più (sino a quando non migri) e che mi ero abbondantemente scordato.

Il nostro metodo di lavoro prevede delle directory con un nome facile da individuare che a loro volta contengono delle subdirectory, su samba 4 è possibile usare i permessi di windows ma se ti trovi per esempio una directory con più di 2 milioni di files al suo interno la cosa diventa lenta e problematica.
Alle directory hanno accesso 2 gruppi uno in lettura e scrittura l’altro in sola lettura, i gruppi per comodità prendono il nome dalla share, l’esempio a seguire è relativo alla directory ute (ufficio tecnico) a cui hanno accesso i gruppi ute-rw e ute-ro, ma la logica è uguale per tutte le share.
Da tener presente il fatto non trascurabile che le directory contengono già dei files quindi bisogna trattare i permessi in due passi il primo per permettere l’accesso ai files già esistenti il secondo per creare il default per quelli che verranno creati.
Diamo per scontato che la directory ute sia già stata copiata al suo posto,
root@trieste:/home# chown -R administrator:ute-rw ute/
root@trieste:/home# chmod -R 700 ute/
In teoria non dovrebbe essere necessario, ma giusto per dormire sonni tranquilli elimino qualsiasi ACL possa essere rimasta sui files
root@trieste:/home# setfacl -b -R ute/
root@trieste:/home# setfacl -R -m g:ute-rw:rwx ute/
con questo primo passo do a ute-rw la possibilità di leggere e modificare i files contenuti nella dir e nelle subdir, quindi do a ute-ro il permesso di leggere i vecchi files con
root@trieste:/home# setfacl -R -m g:ute-ro:rx ute/
Adesso creo il default per il futuro con
root@trieste:/home# setfacl -R -d -m g:ute-rw:rwx ute/ && setfacl -R -d -m g:ute-ro:rx ute/
Ho dovuto usare questo metodo che a prima vista può sembrare lento e farraginoso ma che in realtà è rapidissimo perché con la comoda interfaccia windows succedeva che dando i permessi alla sera al mattino non aveva ancora finito e se qualche collega come spesso succede arrivava presto aprendo disegni e progetti bloccava il lavoro, ripeto nella directory ute ci sono più di 2 milioni di files e alla lunga mi sono rotto di tirare bestemmie e di dover riprendere il lavoro.


Categorised as: Linux | Samba | Windows | Work

Comments are disabled on this post


Comments are closed.