Debian - Configurar permissão em subpasta para usuários diferentes no Samba com AD [RESOLVIDO]

nextoblivion
(usa Outra)

Enviado em 21/11/2022 - 22:37h

Olá, estou estudando o samba como forma de migrar de servidores Windows para o Linux, já consegui montar o AD, depois criei outro Debian somente para ser o servidor de arquivos, então ingressei o mesmo no AD, configurei o samba e algumas pasta de teste e tudo funcionou normalmente, mais estou emperrado na seguinte questão, se eu crio uma pasta para cada grupo de usuário funciona corretamente, mais da forma que eu gosto de usar no Windows Server é criar uma pasta principal e dar direito de somente leitura para os usuários do domínio, depois dentro de dessa pasta eu crio subpastas com o nome de cada setor, no domínio eu crio um grupo para cada setor e vinculo os usuários em seus devidos grupos, mais não estou conseguindo fazer esta configuração no samba, a estrutura está assim:

Grupo: Financeiro
Membros: Ana e Joao

Grupo: Vendas
Membros: Luiz e Paulo

Grupo: Gerente
Membro: Antonio

Ai eu tenho uma pasta no servidor de arquivos em /myfiles/arquivos, sendo a pasta principal, dentro dessa pasta eu tenho as subpastas Financeiro, Vendas e Gerente, para pasta principal eu configurei no /etc/samba/smb.conf:

[arquivos]
path = /myfiles/arquivos
valid users = "@LINUX\Domain Users"
read only = yes

Mas não faço ideia de como se configura as subpastas, para que cada setor possa ter acesso somente em sua pasta e não poder gravar na raiz da pasta principal (/myfiles/arquivos), alguém pode me ajudar?

vchacal
(usa Debian)

Enviado em 22/11/2022 - 11:09h

Acho que vc precisa trabalhar c/ permissões acl, é até mais fácil fazer isso logado como administrator numa maquina windows.

Clica c/ direito em computador e depois gerenciar, na tela que abrir vc conecta no servidor de arquivos. Assim vc consegue ver o compartilhamento no seu "arquivos", ajustar as permissões e deixa como usuário e grupo dono com permissão total e outros c/ apenas leitura e execução. Dessa forma todos conseguem acessar a raiz "arquivos" e ver as pastas ... mas não consegue criar nada nesta raiz.

Depois c/ o windows explorer mesmo, vc pode acessar este compartilhamento c/ a conta administrator "OBS: Vc tem que mapear o administrator p/ root no servidor de arquivos". Criar as pastas dos departamentos e ajustar as permissões, removendo o acesso de todos, dar permissão total ao grupo do departamento da pasta, definir este grupo como dono da pasta e remover a herança de permissões.

Assim todos acessam o compartilhamento arquivos e visualizam as pastas dos departamentos. Mas não conseguem gravar nada na raiz arquivos, somente dentro das subpastas que eles tem acesso.

Mta informação, mas espero que ajude.

nextoblivion
(usa Outra)

Enviado em 22/11/2022 - 12:07h

E ai amigo, assim funcionou, gostaria de fazer uma ultima pergunta, na propriedades da pasta no windows explorer, tem como retirar a aba Segurança para usuário que não são administradores?

O parâmetro nt acl support = no, remove a aba até para os usuários administradores.

vchacal
(usa Debian)

Enviado em 22/11/2022 - 14:45h

Opa legal amigo, que bom.
Essa eu vou ficar devendo hein, não sabia desse parâmetro e não achei na documentação do samba.
Mas fiquei curioso.

nextoblivion
(usa Outra)

Enviado em 22/11/2022 - 16:00h

Opa legal amigo, que bom.
Essa eu vou ficar devendo hein, não sabia desse parâmetro e não achei na documentação do samba.
Mas fiquei curioso.
[/quote]

Blz amigo, se descobrir como faz isso me avisa, no mais muito obrigado.