Condivisione Cartelle su Ubuntu Server 23.04

[ValerioG]

Salve a tutti,
sono nuovo del forum e di linux, so chè l'argomento è trito e ritrito, ma sto cercando una guida per Ubuntu Server 23.04 su come configurare una share samba con più utenti e permessi diversi su di essa, come faccio abitualmente sui server windows, esempio: utente1 con permessi completi di lettura e scrittura, utente 2 solo lettura ecc.
Mi pare di capire che con la gestione standard, solo l'utente proprietario della cartella può averci accesso, infatti anche se creo un altro utente, gli do la password samba e lo aggiungo nei valid users, non c'è verso di farlo accedere alla cartella nemmeno in lettura.
Ho già cercato ampiamente in rete, ma trovo tutorial con comandi di qualche anno fa che non funzionano.
Ringrazio anticipatamente chiunque voglia aiutarmi

[thece]

qui

[HOWTO] Samba - Installazione & Configurazione

puoi trovare una guida (semplice) di come si installa e configura il server Samba.

Nello specifico, per quello che ti interessa devi capire come si sovrappone la gestione dei permessi di Samba alla gestione dei permessi sul file system sottostante.
La gestione dei permessi di Samba non può mai scavalcare la gestione dei permessi sul file system sottostante.
Quando un utente di Samba (quindi di sistema, sul server) opera su uno share, quello può fare o non fare in prima battuta deve rispettare i permessi specificati nella configurazione di Samba, in seconda battuta deve rispettare i permessi specificati sul file system sottostante.

Installa e configura il server Samba poi magari vediamo di risolvere qualche problema specifico.
Con qualcosa di concreto sottomano vedrai che sarà tutto più semplice.

[ValerioG]

Buonasera thece,
ti ringrazio, darò un'occhiata alla guida che mi hai indicato e ti farò sapere come è andata.
Di nuovo, grazie!

[ValerioG]

Ciao Thece, una domanda:
quando scrivi
Assegno alla directory /condivisa:
- come utente proprietario l'utente di sistema thece
- come gruppo proprietario il gruppo di sistema thece
nella sintassi del comando "sudo chown thece:thece /condivisa" quale dei due thece è l'utente e quale il gruppo?
e poi, il gruppo di sistema "thece" lo hai creato tu?

[thece]

e poi, il gruppo di sistema "thece" lo hai creato tu?

Su Ubuntu e Debian, di altre distro non potrei dire con certezza, quando viene creato un utente, di default viene creato anche un gruppo con lo stesso nome.
Quindi, SI, l'utente thece e il gruppo thece li ho creati io.

nella sintassi del comando "sudo chown thece:thece /condivisa" quale dei due thece è l'utente e quale il gruppo?

Risposta didattica: guardati la sintassi del comando chown

Codice: Seleziona tutto

chown --help
man chown

In virtù di queste domande ti invito a leggere le pagine del WIKI su: comandi base, gestione utenti e gestione permessi. Ti serviranno, fidati.

[ValerioG]

Ciao Thece,
punto della situazione:
seguendo alla lettera la guida, (...e analizzando i comandi per comprendere e non fare tutto a pappagallo) ottengo che:
-viene creata la condivisione (nel mio caso l'ho chiamata share)
-su questa condivisione può scriverci solamente l'utente con il quale l'ho creata (l'utente l'ho chiamato "srv"), anche se ho aggiunto al gruppo "srv" gli utenti "test" e "test2", i quali però la aprono solamente in lettura, e qui vorrei capire il perchè, e come fare a dare i permessi in scrittura.
-per gli utenti creati (test1 e test2) ottengo le relative due home directories apribili solamente in lettura anche dagli utenti stessi.

[thece]

Vediamo di dare una spiegazione.

-viene creata la condivisione (nel mio caso l'ho chiamata share)
-su questa condivisione può scriverci solamente l'utente con il quale l'ho creata (l'utente l'ho chiamato "srv"), anche se ho aggiunto al gruppo "srv" gli utenti "test" e "test2", i quali però la aprono solamente in lettura, e qui vorrei capire il perchè, e come fare a dare i permessi in scrittura.

Posta la definizione dello share [share] e i permessi della relativa directory sul filesystem

Codice: Seleziona tutto

ls -ld /<PATH>/share

-per gli utenti creati (test1 e test2) ottengo le relative due home directories apribili solamente in lettura anche dagli utenti stessi.

Solo se hai modificato la definizione dello share [homes], posta la definizione dello share [homes].
Posta i permessi delle Home Directory degli utenti test1 e test2

Codice: Seleziona tutto

ls -ld /home/test1
ls -ld /home/test2

Posta l'output del comando

Codice: Seleziona tutto

cat /etc/group | egrep 'srv|test1|test2'

Quindi tutti e tre gli utenti (srv, test1 e test2) sono utenti di Samba?



Spero che nel frattempo hai avuto modo di leggerti come funziona la gestione dei permessi su Linux, altrimenti non so quanto la mia spiegazione potrà esserti utile.

[ValerioG]

Vediamo di dare una spiegazione.

-viene creata la condivisione (nel mio caso l'ho chiamata share)
-su questa condivisione può scriverci solamente l'utente con il quale l'ho creata (l'utente l'ho chiamato "srv"), anche se ho aggiunto al gruppo "srv" gli utenti "test" e "test2", i quali però la aprono solamente in lettura, e qui vorrei capire il perchè, e come fare a dare i permessi in scrittura.

Posta la definizione dello share [share] e i permessi della relativa directory sul filesystem

Codice: Seleziona tutto

ls -ld /<PATH>/share

srv@fileserver:~$ sudo ls -ld /share
drwxr-xr-x 3 srv srv 4096 Sep 4 14:29 /share

-per gli utenti creati (test1 e test2) ottengo le relative due home directories apribili solamente in lettura anche dagli utenti stessi.

Solo se hai modificato la definizione dello share [homes], posta la definizione dello share [homes].
Posta i permessi delle Home Directory degli utenti test1 e test2
comment = share
path = /share
available = yes
browseable = yes
writeable = yes
guest ok = no
guest only = no
write list = srv, test, test2

Codice: Seleziona tutto

ls -ld /home/test1
srv@fileserver:/home$ ls -ld /home/test1
ls: cannot access '/home/test1': No such file or directory
ls -ld /home/test2
srv@fileserver:/home$ ls -ld /home/test2
ls: cannot access '/home/test2': No such file or directory

Posta l'output del comando

Codice: Seleziona tutto

cat /etc/group | egrep 'srv|test1|test2'

srv@fileserver:/home$ cat /etc/group | egrep 'srv|test1|test2'
adm4:syslog,srv
cdrom24:srv
sudo27:srv
dip30:srv
plugdev46:srv
lxd105:srv
srv1000:test
samba1001:srv
test21003:


Tutti e tre gli utenti (srv, test1 e test2) sono utenti di Samba?
Si



Spero che nel frattempo hai avuto modo di leggerti come funziona la gestione dei permessi su Linux, altrimenti non so quanto la mia spiegazione potrà esserti utile.

Si in realtà è da qualcjhe settimana che lo sto facendo

[thece]

Hai pasticciato un pò con la formattazione comunque ...

-su questa condivisione può scriverci solamente l'utente con il quale l'ho creata (l'utente l'ho chiamato "srv"), anche se ho aggiunto al gruppo "srv" gli utenti "test" e "test2", i quali però la aprono solamente in lettura, e qui vorrei capire il perchè, e come fare a dare i permessi in scrittura.

[share]
comment = share
path = /share
available = yes
browseable = yes
writeable = yes
guest ok = no
guest only = no
write list = srv, test, test2

Gli utenti di Samba srv, test, test2 possono (potenzialmente!) scrivere nello share. Fin qui OK

Codice: Seleziona tutto

srv@fileserver:~$ sudo ls -ld /share

drwxr-xr-x 3 srv srv 4096 Sep 4 14:29 /share

sudo non serviva ...

Leggiamo l'output: la directory /share appartiene all'utente srv e al gruppo srv.
L'utente srv ha i diritti rwx
Il gruppo srv ha i diritti r-x
Tutti gli altri utenti hanno i diritti r-x
Quindi gli utenti test e test2, facenti parte del gruppo srv, possono solo leggere (nella) e attraversare la directory /share.

Tutto chiaro?

... e come fare a dare i permessi in scrittura.

Un modo potrebbe essere

Codice: Seleziona tutto

sudo chmod 775 /share

L'utente srv ha i diritti rwx
Il gruppo srv ha i diritti rwx
Tutti gli altri hanno i diritti r-x
Quindi gli utenti test e test2, facenti parte del gruppo srv, possono leggere (nella), scrivere (nella) e attraversare la directory /share.

La direttiva write list in questo caso non serve a nulla.



L'utente è test o test1?

Per gli utenti test(1) e test2 non hai creato la Home Directory?

Posta questo output

Codice: Seleziona tutto

cat /etc/passwd | grep -i test

[ValerioG]

Hai pasticciato un pò con la formattazione comunque ...

-su questa condivisione può scriverci solamente l'utente con il quale l'ho creata (l'utente l'ho chiamato "srv"), anche se ho aggiunto al gruppo "srv" gli utenti "test" e "test2", i quali però la aprono solamente in lettura, e qui vorrei capire il perchè, e come fare a dare i permessi in scrittura.

[share]
comment = share
path = /share
available = yes
browseable = yes
writeable = yes
guest ok = no
guest only = no
write list = srv, test, test2

Gli utenti di Samba srv, test, test2 possono (potenzialmente!) scrivere nello share. Fin qui OK

Codice: Seleziona tutto

srv@fileserver:~$ sudo ls -ld /share

drwxr-xr-x 3 srv srv 4096 Sep 4 14:29 /share

sudo non serviva ...

Leggiamo l'output: la directory /share appartiene all'utente srv e al gruppo srv.
L'utente srv ha i diritti rwx
Il gruppo srv ha i diritti r-x
Tutti gli altri hanno i diritti r-x
Quindi gli utenti test e test2, facenti parte del gruppo srv, possono solo leggere (nella) e attraversare la directory /share.

Tutto chiaro?
Ora si


L'utente è test o test1?
esistono entrambi

Per gli utenti test(1) e test2 non hai creato la Home Directory?
No, sono utenti nologin

Posta questo output

Codice: Seleziona tutto

cat /etc/passwd | grep -i test

srv@fileserver:~$ sudo nano /etc/samba/smb.conf
srv@fileserver:~$ cat /etc/passwd | grep -i test
test1001:/home/test:/usr/sbin/nologin
test21002:/home/test2:/usr/sbin/nologin

[thece]

Uhm ... mi cogli impreparato ...

Intanto per poter essere utilizzata la shell /usr/sbin/nologin deve essere contenuta nel file /etc/shells . Nel caso non ci fosse, occorre aggiungerla.
Non è necessario, funziona ugualmente ma (IMHO) è meglio se lo fai.

Ho capito quello che vorresti fare.
Non sono sicuro che tu possa assegnare agli utenti test e test2 la shell /usr/sbin/nologin (e poi fargli usare Samba). A naso direi di si ma dovrei verificare.
Si può fare.

-per gli utenti creati (test1 e test2) ottengo le relative due home directories apribili solamente in lettura anche dagli utenti stessi.

Va da sè che le innanzitutto le due Home Directory devono esistere e devono avere gli opportuni permessi per gli utenti user e user2

Hai cancellato la directory /home/test2 ? Non mi torna con l'output che hai postato per

Codice: Seleziona tutto

ls -ld /home/test2

Questo invece

Codice: Seleziona tutto

ls -ld /home/test1

era sbagliato in partenza poichè l'utente si chiama test e non test1

Se vuoi fare un recap

Codice: Seleziona tutto

cat /etc/passwd | egrep 'srv|test|test2'
cat /etc/group | egrep 'srv|test|test2'
ls -l /home

(Ri)Controlla la formattazione dei tuoi post.
Questo : x : (ho staccato volutamente i : ) il Forum lo renderizza come



Frase di rito: come avrai sicuramente già visto in giro per il Forum, per rendere più comprensibile la discussione, dovresti formattare correttamente sia i comandi impartiti sia i relativi output racchiudendoli tra i tag [ code ] ... [ /code ] (scritti senza spazi) in modo da ottenere un qualcosa del genere

Codice: Seleziona tutto

COMANDO
...
OUTPUT
...

Puoi applicare i tag automaticamente selezionando il testo che vuoi racchiudere tra di essi e poi premendo il bottone </> (Codice) nella pulsantiera posta sopra il riquadro di scrittura.
Sei invitato a modificare il tuo precedente post.

[ValerioG]

OK,ti chiedo scusa per i vari pasticci e ti ringrazio per la pazienza
Domani che rientro in ufficio ricomincio e ti aggiorno.
In effetti ciò che vorrei fare è la classica condivisione di una cartella con permessi R e R-W concessi a diversi utenti, come si fa su Windows.
Buona serata!

[thece]

In effetti ciò che vorrei fare è la classica condivisione di una cartella con permessi R e R-W concessi a diversi utenti, come si fa su Windows.

Si può fare, te lo assicuro, basta progettare le cose nel modo corretto.

In fase di progettazione delle autorizzazioni, forse è meglio se parti pensando a quali diritti dovranno avere gli utenti e i gruppi di sistema sulla directory sulla quale verrà creato lo share. Solo dopo pensa agli eventuali/ulteriori diritti degli utenti di Samba sullo share.

E ricorda che la gestione delle autorizzazioni su Linux e su Windows funziona in modo diverso.

[ValerioG]

Buongiorno Thece, ho aggiunto l'utente "test" come proprietario:

[sudo chown test /share], poi [ls -dr /share]

e ottengo

drwxr-xr-x 2 test srv 4096 Sep 5 09:31 /share

adesso, gli utenti "srv" e "test" possono scrivere, l'utente "test2" può solamente leggere.
Non so se questa sia la procedura standard o che rispetta i criteri di sicurezza, ma ho raggiunto lo scopo.
Se ti va, puoi darmi qualche altra indicazione.
grazie!

[thece]

Ti ho già invitato a formattare meglio i tuoi post. Credimi, li renderai molto più comprensibili per chi li leggerà.

e ottengo

drwxr-xr-x 2 test srv 4096 Sep 5 09:31 /share
adesso, gli utenti "srv" e "test" possono scrivere ...

Sicuro? Fai i test per bene, prova tutte le combinazioni.



T propongo questa implementazione, vedi se ti può soddisfare

Creazione dei gruppi di sistema

Codice: Seleziona tutto

sudo groupadd smbReaders
sudo groupadd smbWriters

Creazione degli utenti di sistema

Codice: Seleziona tutto

sudo useradd --home-dir /bin/false --shell /usr/sbin/nologin --no-user-group --gid smbReaders smbReader01
sudo useradd --home-dir /bin/false --shell /usr/sbin/nologin --no-user-group --gid smbReaders smbReader02

sudo useradd --home-dir /bin/false --shell /usr/sbin/nologin --no-user-group --gid smbWriters smbWriter01
sudo useradd --home-dir /bin/false --shell /usr/sbin/nologin --no-user-group --gid smbWriters smbWriter02

Nota: gli utenti smbReader## e smbWriter## :
- non hanno Home Directory
- non possono effettuare il login sul sistema
- hanno come gruppo primario smbReaders e smbWriters rispettivamente.

Controlli vari

Codice: Seleziona tutto

cat /etc/group | grep -i smb
cat /etc/passwd | grep -i smb

id smbReader01
id smbReader02

id smbWriter01
id smbWriter02

Creazione della directory che verrà condivisa

Codice: Seleziona tutto

sudo mkdir -p /smbShare
sudo chown smbWriter01:smbWriters /smbShare
sudo chmod 775 /smbShare

Controlli vari

Codice: Seleziona tutto

ls -ld /smbShare

Creazione degli utenti di Samba

Codice: Seleziona tutto

sudo smbpasswd -a smbReader01
sudo smbpasswd -a smbReader02

sudo smbpasswd -a smbWriter01
sudo smbpasswd -a smbWriter02

Controlli vari

Codice: Seleziona tutto

sudo pdbedit -L

Definizione dello share di Samba

Codice: Seleziona tutto

[smbShare]
	comment = SMB Share
	path = /smbShare
	available = yes
	browseable = yes
	writeable = yes
	guest ok = no
	guest only = no
	directory mask = 0775
	create mask = 0664	
	valid users = @smbReaders, @smbWriters

Qui ho scritto una cosa poco precisa

E ricorda che la gestione delle autorizzazioni su Linux e su Windows funziona in modo diverso.

E' possibile aggiungere al sistema di autorizzazioni di Linux anche le ACL (Access Control List) in perfetto stile Windows.



Si potrebbe anche provare a reimplementare la soluzione precedente attraverso le ACL.

Creazione dei gruppi di sistema

Codice: Seleziona tutto

sudo groupadd smbReaders
sudo groupadd smbWriters

Creazione degli utenti di sistema

Codice: Seleziona tutto

sudo useradd --home-dir /bin/false --shell /usr/sbin/nologin --no-user-group --gid smbReaders smbReader01
sudo useradd --home-dir /bin/false --shell /usr/sbin/nologin --no-user-group --gid smbReaders smbReader02

sudo useradd --home-dir /bin/false --shell /usr/sbin/nologin --no-user-group --gid smbWriters smbWriter01
sudo useradd --home-dir /bin/false --shell /usr/sbin/nologin --no-user-group --gid smbWriters smbWriter02

Nota: gli utenti smbReader## e smbWriter## :
- non hanno Home Directory
- non possono effettuare il login sul sistema
- hanno come gruppo primario smbReaders e smbWriters rispettivamente.

Controlli vari

Codice: Seleziona tutto

cat /etc/group | grep -i smb
cat /etc/passwd | grep -i smb

id smbReader01
id smbReader02

id smbWriter01
id smbWriter02

Creazione della directory che verrà condivisa

Codice: Seleziona tutto

sudo mkdir -p /smbShare
sudo chown root:root /smbShare
sudo chmod 770 /smbShare

Controlli vari

Codice: Seleziona tutto

ls -ld /smbShare
getfacl /smbShare

Aggiunta delle ACL alla directory /smbShare

Codice: Seleziona tutto

sudo setfacl -m g:smbReaders:rx /smbShare

sudo setfacl -m g:smbWriters:rwx /smbShare

Controlli vari

Codice: Seleziona tutto

ls -ld /smbShare
getfacl /smbShare

Creazione degli utenti di Samba

Codice: Seleziona tutto

sudo smbpasswd -a smbReader01
sudo smbpasswd -a smbReader02

sudo smbpasswd -a smbWriter01
sudo smbpasswd -a smbWriter02

Controlli vari

Codice: Seleziona tutto

sudo pdbedit -L

Definizione dello share di Samba

Codice: Seleziona tutto

[smbShare]
        comment = SMB Share
        path = /smbShare
        available = yes
        browseable = yes
        writeable = yes
        guest ok = no
        guest only = no
        directory mask = 0750
        create mask = 0640      
        inherit owner = yes
        inherit acls = yes
        inherit permissions = yes
        valid users = @smbReaders, @smbWriters

Ho riportato queste proposte di soluzione nei miei appunti su Samba ...

[ValerioG]

Ti ho già invitato a formattare meglio i tuoi post. Credimi, li renderai molto più comprensibili per chi li leggerà.

e ottengo

drwxr-xr-x 2 test srv 4096 Sep 5 09:31 /share
adesso, gli utenti "srv" e "test" possono scrivere ...

Sicuro? Fai i test per bene, prova tutte le combinazioni.

Si, ho disconnesso la share, riavviato samba e riprovato, entrambi gli utenti hanno accesso in lettur in scrittura.

T propongo questa implementazione, vedi se ti può soddisfare

Ottimo grazie, la proverò.

[tokijin]

@ValerioG
nel messaggio sopra avevi fatto un po' di pasticci con le citazioni.
L'ho modificato cercando di riportare le risposte che hai dato a thece e eliminando le citazioni non proprio utili.

Come ti è stato già detto, quando riporti ol'output del terminale utilizza il tag Codice, per favorirne la leggibilità.

Ciao