Ограничение доступа к разделяемым объектам

Ограничение доступа к разделяемым объектам

Samba использует различные средства контроля доступа к серверу. В качестве примера можно привести уже упоминавшиеся параметры hosts allow и hosts deny и, конечно же, модель аутентификации, согласно которой пользователь должен указывать имя и пароль. Samba также предоставляет средства контроля доступа к отдельным разделяемым объектам. Наиболее важными средствами управления доступом являются параметры valid users и invalid users. В качестве значений этих параметров задаются списки пользователей, которым соответственно разрешено или запрещено обращаться к разделяемому объекту. Если вы используете параметр valid users, задайте перечень имен пользователей, разделенных пробелами. Эти пользователи получат право доступа к объекту, а для остальных доступ будет запрещен. Аналогично, параметр invalid users используется для создания "черного списка". Даже если пользователи, указанные в нем, имеют право обращаться ко всем остальным объектам, доступ к данному объекту для них будет закрыт.

Помимо valid users и invalid users, для контроля доступа могут также быть использованы параметры write list и read list. Эти параметры позволяют переопределять для отдельных пользователей установки, разрешающие чтение и запись или только чтение. Предположим, что вы создали разделяемый объект и поместили в него программные файлы. Очевидно, что подавляющее большинство пользователей не должны вносить изменения в содержимое этого объекта, поэтому данный разделяемый объект целесообразно определить как предназначенный только для чтения. Однако некоторые пользователи будут заниматься обновлением программ, поэтому им надо предоставить право записи. Этих пользователей можно определить с помощью параметра write list.

В качестве примера применения описанных выше параметров рассмотрим следующий фрагмент конфигурационного файла:

[control]

path = /home/samba/control

read only = Yes

invalid users = thomas susan

write list = gertrude henry

Для большинства пользователей данный объект допускает только чтение. Двум пользователям (thomas и susan) доступ к объекту полностью запрещен, а пользователи gertrude и henry имеют право не только читать данные, но и записывать их.