patrickpcs
(usa Nenhuma)
Enviado em 14/03/2016 - 03:32h
Olá.
A situação é a seguinte;
Em uma organização temos um servidor samba integrado com o ldap, e estamos precisando implementar quotas no disco do file server.
Como na organização temos um organograma bem grande com várias seções (+ de 100 pastas de rede compartilhadas no SAMBA) é muito comum um usuário pertencer a vários grupos.
Exemplo;
Tenho duas pastas compartilhadas,
seção de pessoal (grupo spessoal)
seção de material (grupo smaterial)
Acontece que usuário o pdasgalaxias pertence aos dois grupos sendo o primário o grupo spessoal. Quando o pdasgalaxias salva algum arquivo dentro da pasta da seção de material, os arquivos ficam salvos como pertencendo ao grupo primário dele (spessoal), o que normalmente impediria que alguém que seja apenas do grupo smaterial de fazer qualquer coisa com o arquivo. Para contornar esse problema nas configurações de cada compartilhamento do SAMBA eu coloquei o seguinte...
forcecreate mask = 0777
force create mode = 0777
directory mask = 0777
force directory mode = 0777
Sendo assim qualquer coisa criada dentro do compartilhamento terá permissão 777 o que possibilita que arquivos salvos pelo pdasgalaxias sejam manipulados por qualquer usuários dentro da pasta seção de material. Para impedir que usuários não pertencentes ao grupo da pasta (smaterial) de acessar ela eu tirei a permissão de execução de outros na raiz da pasta seção de material.
Até então aparentemente estava tudo bem, o problema começa quando vou implementar quotas de disco.
Eu defini uma quota de 5.000.000 blocos para cada grupo (aprox 4,72 Gb)
Como sabemos, os arquivos criados pelo usuário pdasgalaxias sempre irão pertencer ao grupo primário dele (spessoal). Quando o pdasgalaxias salva alguma coisa dentro da pasta da seção de material, ele está ocupando a quota do grupo spessoal, tirando recursos dos usuários do grupo spessoal e da pasta da seção de pessoal mesmo sem ter salvo nada dentro dela.
Alguém tem alguma ideia?
Eu pensei em algumas coisas mas achei bem estupidas minhas ideias.
Ideia 1-Talvez criar um script para alterar o grupo de cada arquivo regularmente, fazendo assim os arquivos de cada pasta pertencerem ao grupo da pasta.
A falha nessa ideia é que o usuário pdasgalaxias poderia colocar dados ao infinito e além dentro das pastas que não fossem do mesmo grupo primário dele. Veja, o pdasgalaxias tem os dois compartilhamentos mapeados no computador dele (windows), no "meu computador" aparece que ele tem 5 gb livre nas duas pastas. Ele joga um arquivo de 5Gb dentro da pasta da seção de material, inicialmente vai aparecer que ele estorou a quota das duas pastas pois a leitura de espaço é feita baseada no grupo primário dele (spessoal). Após a execução do script que iria mudar o grupo do arquivo para o mesmo da pasta da a se entender que estaria tudo bem, já que agora o arquivo de 5Gb iria ocupar a quota do grupo smaterial e pasta da seção de material. Entretanto para o pdasgalaxias iria aparecer que ele possui 5 Gb livre nas duas pastas, uma vez que a quota é definida pelo grupo primário do usuário e permitindo que ele coloque outros 5Gb dentro da pasta seção de material.
Ideia 2- Abandonar sistema de quotas e criar uma partição para cada seção.....bem arcaico =/ nem gosto de pensar nessa burrice.