![[ 永遠的UNIX::UNIX技術資料的寶庫 ]](/images/title.gif) GB | BIG5
|
| 首頁 > 應用技術 > 其它 > 正文 |
 |
| Samba-HOWTO最新匯集--8. UNIX權限位和Windows NT訪問控制表 |
| 本文出自: http://6bytes.com/meaculpa 編譯:meaculpa (2001-05-31 16:10:00) |
8.1. 用NT安全對話框瀏覽和修改UNIX權限
8.2. 如何瀏覽Samba共享項上的文件權限
8.3. 瀏覽文件所有權
8.4. 瀏覽文件或目錄權限
8.4.1. 文件權限
8.4.2. 目錄權限
8.5. 修改文件或目錄權限
8.6. 使用創建掩碼選項
8.7. 使用文件屬性映射
8.1. 用NT安全對話框瀏覽和修改UNIX權限
在Samba 2.0.4版本中提供了一個新的功能,可以讓NT客戶在NT上使用安全設置對話框來瀏覽和修改UNIX權限。但要注意的是,這並不影響運行Samba服務器的UNIX主機安全,它還是得服從Samba管理員所設置的文件權限。在Samba 2.0.4及以上版本中,我們已經把選項nt acl support的缺省值從false改為了true,所以缺省就允許了上述功能。
--------------------------------------------------------------------------------
8.2. 如何瀏覽Samba共享項上的文件權限
在NT 4.0上,用鼠標右鍵單擊Samba共享盤或UNC路徑上的任何文件或目錄,在彈出的下拉菜單底部選屬性項,這時會打開文件屬性對話框,而Samba 2.0.4會在其中添加一個新的書簽:安全。在這一頁中又有三個按鈕:權限、審核、所有者。其中,審核按鈕的使用權限取決你的賬號身份。而此時,對Samba共享項來說這個對話框並沒有什用處,因為添加這個有用的按鈕現在還不能查看用戶列表。
--------------------------------------------------------------------------------
8.3. 瀏覽文件所有權
點擊“所有者”按鈕就可以看到所選文件的屬主,屬主名形如:
“服務器名\用戶名 (長名)”
其中的服務器名為Samba服務器的NetBIOS名,而用戶名則是擁有該文件的UNIX用戶名,面的(長名)是該用戶的描述信息(通常取自口令數據庫的GECOS字段)。
如果你把選項nt acl support設為false的話,那顯示的文件屬主就是NT用戶“Everyone”。不過你現在還無法更改文件屬主,因為這是屬root才能做的特權操作。
Samba開發小組的Jeremy Allison寫一套NT的安全庫,它叫做Seclib。NT上的用戶可以使用它以管理員權限連接到Samba 2.0.1服務器,然作為root身份更改本地NTFS文件系統、遠程NTFS文件系統或Samba共享盤上的文件屬主權。你可以在Samba主站的ftp上找到這套庫。
--------------------------------------------------------------------------------
8.4. 瀏覽文件或目錄權限
使用“權限”按鈕可以查看所選文件或目錄的權限及unix屬主。顯示的屬主格式為:
"服務器名\用戶名 (長名)"
這些名詞的含義與上面提到的那個一樣。如果你把選項nt acl support設為false的話,那顯示的文件屬主就是NT用戶“Everyone”,而對應的權限則是“完全控制”。
文件和目錄所顯示的權限信息是不一樣的,下面分別來介紹一下。
--------------------------------------------------------------------------------
8.4.1. 文件權限
Samba把標準UNIX權限中的“讀”、“寫”、“執行”映射到NT的三個ACL元素‘r’、‘w’和‘x’,以便分別對應NT權限。UNIX的其他人權限被映射到NT的全局組Everyone上,而UNIX的文件所有人及所在組的權限就對應到了NT的用戶和本地組之上。
由很多UNIX權限設置不能映射為NT常用的“讀”、“更改”和“完全控制” ,所以在NT上顯示這些權限時只能帶上“特殊訪問”的前綴詞了。
那在UNIX中,無權訪問文件如何來表示呢?為使用戶可以查看和修改“無權訪問”,Samba把這它放到了NT的ACL屬性“取得權限”(在UNIX中無意義)上,並向NT表示成“0”權限位,這也說明了沒有權限。More details on the decision behind this will be given below.
--------------------------------------------------------------------------------
8.4.2. 目錄權限
NTFS文件系統有兩種不同的目錄權限設置。第一種是目錄本身的ACL設置,通常在權限列表的第一個圓括號顯示為“RW”這種形式。Samba把這種目錄權限同上述的文件權限一樣來處理。
第二種是“繼承”權限,該目錄中的任何文件都會在創建時繼承它的權限。在UNIX中是沒有這種概念的。Samba使用NT的ACL實現了這種繼承權限,這樣在Samba共享項中建立新文件時可以得到該共享的UNIX權限。
--------------------------------------------------------------------------------
8.5. 修改文件或目錄權限
要修改文件和目錄的權限,只要在安全對話框中更改所顯示的權限即可。但是,用戶在操作標準Samba權限掩碼時還是有些限制的,另外也要考慮DOS屬性的映射問題。當然,如果你把選項nt acl support設為false,那就無法設置權限了,你只能得到“拒絕訪問”這樣的信息。
首先要注意的是,你點擊“添加”按鈕之,並不能獲得Samba 2.0.4系統上的用戶列表(你會得到“遠程過程調用執行失敗”這樣的錯誤信息)。此時你只能對對話框中列出的現有權限進行操作,其實這也就夠了,因為UNIX系統上只有這些權限。(譯者注:我發現新版本2.2.0就可以得到用戶列表了。)
如果你在NT安全對話框中刪除了三組權限(用戶、組或其他人)中的設置,那就清除了UNIX系統上的相應權限位。當再次查看文件或目錄的權限時,就會看到前面提到的那個“0”標志了。當然,你在這裡可以改回原來的權限設置。
還有,UNIX只支持三個NT的ACL權限位“r”、“w”、“x”,所以Samba服務器將忽略那些其它的NT安全屬性。
當你對目錄設置權限時,權限列表的第二個圓括號中的權限會應用到該目錄中的所有文件之上。如果你不希望產生這種效果,只要清除“替換已存在文件的權限”復選框就可以了。
如果要清除某一項權限,只要選擇那一項點擊“刪除”按鈕就可以了;或者把這它設為“取得權限”,這時NT會把該項顯示為“0”。
--------------------------------------------------------------------------------
8.6. 使用創建掩碼選項
Samba 2.0.5向用戶提供了四個新的創建掩碼選項:
security mask
force security mode
directory security mask
force directory security mode
當用戶在NT上更改遠程文件的權限時,Samba就把它們映射為UNIX標準權限,並把它們與security mask選項的值進行比較,如果該選項沒有把被更改權限所對應的那一位設為1,就忽略這一位的更改(標準UNIX權限有12位)。如果把該選項的某一位設為0,那用戶就不能更改這一位所對應的權限了。
如果你沒有明確地這個選項,那它的值就和create mask 選項的值相同。如果想允許用戶修改文件的所有權限(三個權限組),就把它設為0777就可以了。
接著,Samba把更改的權限再與force security mode選項進行比較,該選項值為1的那一位所對應的權限位將被強行置位為1。如果把該選項的某一位設為1,則用戶修改的權限中所對應的那一位也總是被置位為1。
同上面一樣,缺省該選項的值與force create mode選項相同。如果不想限制用戶修改文件的所有權限(三個權限組),就把它設為000吧。
注意,在對更改請求使用這兩個選項時是按上述的次序進行的。
而對目錄來說,Samba執行的操作也與文件類似,它使用的是directory security mask和force directory security mode 這兩個選項。它們的缺省值分別與directory mask 和force directory mode的值相同。
Samba管理員可以使用這些方法對每個共享項進行權限設置,這樣就可以限制用戶對權限位的修改。
如果你希望允許用戶完全控制一個共享項中的文件及目錄權限,就不要打開強制選項,在smb.conf文件中按照下面這樣來設置:
security mask = 0777
force security mode = 0
directory security mask = 0777
force directory security mode = 0
如前所說,Samba 2.0.4中的以下選項:
create mask
force create mode
directory mask
force directory mode
可以用替換前面那四個選項。
--------------------------------------------------------------------------------
8.7. 使用文件屬性映射
Samba可以把文件的DOS屬性映射為UNIX權限,但這會與安全對話框中設置的那些權限位造成沖突。
如果有一個UNIX文件,其擁有者對它沒有讀權限的話,在NT的標準屬性對話框中會顯示該文件為“只讀”(譯者注:有這種無聊的情況嗎?)。當然,在這個屬性對話框中,用戶還是可以用上面提到過的“安全”書簽把對文件的讀權限改回來的,但如果在屬性對話框中點擊“確定”按鈕,那NT又會把文件屬性變成只讀(因為屬性對話框中顯示的還是“只讀”嘛),所以只能用“取消”按鈕來退出這個對話框使更改生效。
(http://www.fanqiang.com)
進入【UNIX論壇】
|
|
| 相關文章 |
巧配samba實現WIN2000和Linux文件共享 (2001-12-23 08:30:00)
Samba的圖形化配置工具-SWAT (2001-10-01 07:00:00)
Samba的三種典型配置 (2001-09-30 13:05:00)
如何利用Samba實現Linux與Windows98的資源共享 (2001-09-30 09:05:00)
Samba的簡介 (2001-09-30 08:05:01)
Samba 和 Windows 的密碼處理認証方式 (2001-09-30 07:05:00)
RedHat6.2服務器配置方案大全--第三章 DHCP,第四章 Samba (2001-09-28 09:00:00)
中文man手冊:smbstatus - 報告當前samba的聯接狀態 (2001-09-22 13:05:00)
中文man手冊:make_smbcodepage - 為Samba創建代碼頁文件 (2001-09-21 08:00:00)
尋找Linux下的網絡鄰居(圖形工具:gnomba,Tk Samba,xSMBrowser,LinNeighborhood) (2001-08-24 09:00:00)
|
===更多相關=== |
|
|
|
★ 樊強制作 歡迎分享 ★ |