{"id":1632,"date":"2019-09-13T10:07:21","date_gmt":"2019-09-13T08:07:21","guid":{"rendered":"http:\/\/clark.tipistrani.it\/?p=1632"},"modified":"2019-09-13T10:12:20","modified_gmt":"2019-09-13T08:12:20","slug":"acl-uso-per-samba","status":"publish","type":"post","link":"https:\/\/clark.tipistrani.it\/?p=1632","title":{"rendered":"ACL uso per samba"},"content":{"rendered":"<p>In questo periodo abbiamo migrato i server aziendali, doveva essere una cosa tutto sommato facile e si \u00e8 in realt\u00e0 rivelata un vero e proprio bagno di sangue, con risvolti che passano dal comico al grottesco.<br \/>\n\u00c8\u00a0 per\u00f2 stata l&#8217;occasione per rivedere l&#8217;uso delle <a href=\"https:\/\/it.wikipedia.org\/wiki\/Lista_di_controllo_degli_accessi\">ACL<\/a> che normalmente si settano una volta e poi mai pi\u00f9 (sino a quando non migri) e che mi ero abbondantemente scordato.<\/p>\n<p>Il nostro metodo di lavoro prevede delle directory con un nome facile da individuare che a loro volta contengono delle subdirectory, su samba 4 \u00e8 possibile usare i permessi di windows ma se ti trovi per esempio una directory con pi\u00f9 di 2 milioni di files al suo interno la cosa diventa lenta e problematica.<br \/>\nAlle directory hanno accesso 2 gruppi uno in lettura e scrittura l&#8217;altro in sola lettura, i gruppi per comodit\u00e0 prendono il nome dalla share, l&#8217;esempio a seguire \u00e8 relativo alla directory ute (ufficio tecnico) a cui hanno accesso i gruppi ute-rw e ute-ro, ma la logica \u00e8 uguale per tutte le share.<br \/>\nDa tener presente il fatto non trascurabile che le directory contengono gi\u00e0 dei files quindi bisogna trattare i permessi in due passi il primo per permettere l&#8217;accesso ai files gi\u00e0 esistenti il secondo per creare il default per quelli che verranno creati.<br \/>\nDiamo per scontato che la directory ute sia gi\u00e0 stata copiata al suo posto,<br \/>\nroot@trieste:\/home# chown -R administrator:ute-rw ute\/<br \/>\nroot@trieste:\/home# chmod -R 700 ute\/<br \/>\nIn teoria non dovrebbe essere necessario, ma giusto per dormire sonni tranquilli elimino qualsiasi ACL possa essere rimasta sui files<br \/>\nroot@trieste:\/home# setfacl -b -R ute\/<br \/>\nroot@trieste:\/home# setfacl -R -m g:ute-rw:rwx ute\/<br \/>\ncon questo primo passo do a ute-rw la possibilit\u00e0 di leggere e modificare i files contenuti nella dir e nelle subdir, quindi do a ute-ro il permesso di leggere i vecchi files con<br \/>\nroot@trieste:\/home# setfacl -R -m g:ute-ro:rx ute\/<br \/>\nAdesso creo il default per il futuro con<br \/>\nroot@trieste:\/home# setfacl -R -d -m g:ute-rw:rwx ute\/ &amp;&amp; setfacl -R -d -m g:ute-ro:rx ute\/<br \/>\nHo dovuto usare questo metodo che a prima vista pu\u00f2 sembrare lento e farraginoso ma che in realt\u00e0 \u00e8 rapidissimo perch\u00e9 con la comoda interfaccia windows succedeva che dando i permessi alla sera al mattino non aveva ancora finito e se qualche collega come spesso succede arrivava presto aprendo disegni e progetti bloccava il lavoro, ripeto nella directory ute ci sono pi\u00f9 di 2 milioni di files e alla lunga mi sono rotto di tirare bestemmie e di dover riprendere il lavoro.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>In questo periodo abbiamo migrato i server aziendali, doveva essere una cosa tutto sommato facile e si \u00e8 in realt\u00e0 rivelata un vero e proprio bagno di sangue, con risvolti che passano dal comico al grottesco. \u00c8\u00a0 per\u00f2 stata l&#8217;occasione per rivedere l&#8217;uso delle ACL che normalmente si settano una volta e poi mai pi\u00f9 [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8,11,10,6],"tags":[156,157,26],"class_list":["post-1632","post","type-post","status-publish","format-standard","hentry","category-linux","category-samba","category-windows","category-work","tag-acl","tag-permission","tag-windows-2"],"_links":{"self":[{"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1632","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1632"}],"version-history":[{"count":2,"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1632\/revisions"}],"predecessor-version":[{"id":1635,"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1632\/revisions\/1635"}],"wp:attachment":[{"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1632"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1632"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1632"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}