Cartelle condivise

Una cartella condivisa è un posto dove i file sono accessibili da un gruppo di persone tramite Samba (SMB/CIFS).

Per creare, modificare e rimuovere una cartella condivisa andare alla pagina Cartelle condivise.

Requisiti

Le cartelle condivise utilizzano ACL (Access Control List) per fornire permessi flessibili su file e directory.

Per abilitare le ACL, il filesystem deve essere montato con l’opzione acl. L’opzione acl è già abilitata su XFS, il filesystem CentOS predefinito, e di solito anche su filesystem Ext3 e Ext4.

Abilitazione ACL

Sui filesystem Ext2/3/4, è possibile usare il comando tune2fs per verificare se l’opzione acl è già abilitata:

tune2fs -l /dev/sdXY | grep "Default mount options:"

In cui sdXY è il nome della partizione, l’output dovrebbe essere simile a questo:

Default mount options:    user_xattr acl

Se l’opzione acl non è abilitata, aggiungere l’opzione all’interno di /etc/fstab:

/dev/mapper/VolGroup-lv_root /                       ext4     defaults,acl        0

Oppure utilizzare tune2fs per abilitare la feature come opzione di mount predefinita:

tune2fs -o acl /dev/sdXY

Permessi di accesso

Se si è selezionato Active Directory come account provider, una cartella condivisa appartiene a un gruppo di utenti (Owning group). Ogni membro del gruppo è autorizzato a leggere il contenuto della cartella. Facoltativamente, il gruppo può avere il diritto di modificare il contenuto della cartella e l’autorizzazione di lettura può essere estesa a chiunque acceda al sistema. Questo semplice modello di autorizzazione si basa sulle tradizionali autorizzazioni del file system UNIX.

I permessi di accesso possono essere ulteriormente raffinati utilizzando le ACL, consentendo a singoli utenti o ad altri gruppi i permessi di lettura o scrittura.

Le ACL possono anche essere impostate su singoli file e directory da un client Windows, se l’utente dispone delle sufficienti autorizzazioni – fare riferimento alla sezione Modifica autorizzazioni delle risorse dai client Windows per i dettagli.

Avvertimento

Alcune impostazioni ACL supportate dai client Windows non possono essere convertite in ACL POSIX supportate da NethServer, quindi andranno perse in fase di propagazione

In qualsiasi momento, il pulsante Reimposta permessi propaga le autorizzazioni UNIX e le ACL POSIX alla cartella condivisa ai suoi contenuti.

Se è attiva l’opzione Accesso guest, sono considerate valide qualsiasi credenziali vengano presentate.

Se non è stato scelto alcun account provider o si è scelto LDAP, qualsiasi accesso alle cartelle condivise viene considerato come Accesso ospite in modo che a tutti sia consentito leggerne e scriverne il contenuto.

Accesso alla rete

SMB/CIFS è un protocollo molto diffuso che consente di condividere file in una rete di computer. Il nome della cartella condivisa diventa il nome della condivisione SMB.

Per esempio, l’indirizzo di rete SMB per la condivisione docs potrebbe essere

\\192.168.1.1\docs
\\MYSERVER\docs

Avvertimento

L’accesso autenticato alle cartelle condivise è disponibile con un account provider Active Directory. Il provider LDAP consente solo l’accesso come guest.

Quando si accede ad una condivisione SMB, alcune interfacce utente forniscono un unico campo per indicare lo username. In questi casi fornire lo user short name anteposto dal nome di dominio NetBIOS. Ad esempio, se il nome di dominio NetBIOS fosse «DOMAIN» ed il nome utente fosse «john.smith», la stringa da utilizzare per accedere alla condivisione SMB sarebbe:

DOMAIN\john.smith

Al contrario, altre applicazioni mostrano dei campi di input separati per il nome di dominio NetBIOS e per il nome utente; in tal caso riempire i campi separatamente.

Cestino di rete

Se l’opzione Cestino di rete è abilitata, i file rimossi da una cartella condivisa vengono in realtà spostati in una directory «cestino» speciale. L’opzione Mantieni più copie dei file con lo stesso nome assicura che i file nel cestino abbiano sempre nomi distinti, impedendone la sovrascrittura.

Nascondere una cartella condivisa

Se è attiva l’opzione Visibile, la cartella condivisa sarà elencata fra le cartelle disponibili. Questa opzione non influisce sui permessi di accesso della cartella.

Share home

Ciascun utente di NethServer ha una condivisione personale mappata sulla sua home directory Unix. Il nome SMB della share corrisponde allo user short name. Ad esempio:

  • user short name john.smith
  • nome server MYSERVER
  • indirizzo server 192.168.1.2

L’indirizzo di rete SMB è:

\\MYSERVER\john.smith
\\192.168.1.2\john.smith

Fornire le credenziali dell’utente John come spiegato nella sezione Accesso alla rete.

Suggerimento

La directory home Unix viene creata al primo accesso dell’utente tramite SMB o via SFTP/SSH.

Modifica autorizzazioni delle risorse dai client Windows

Quando un utente si connette a una cartella condivisa con un client Windows, può modificare le autorizzazioni su singoli file e directory. Le autorizzazioni sono espresse dagli elenchi di controllo di accesso (ACL).

Avvertimento

Alcune impostazioni ACL supportate dai client Windows non possono essere convertite in ACL POSIX implementate da NethServer, quindi andranno perse in fase di propagazione

Solo il proprietario di una risorsa (che sia file o directory) ha il pieno controllo su di essa (lettura, scrittura, modifica delle autorizzazioni). L’autorizzazione per eliminare una risorsa è concessa agli utenti con permessi di scrittura sulla directory principale. L’unica eccezione a questa regola è descritta nella sezione Accesso amministrativo.

Quando viene creata una nuova risorsa, il proprietario può essere definito da una delle seguenti regole:

  • il proprietario è l’utente che crea la risorsa
  • il proprietario viene ereditato dalla directory padre

Per applicare una di queste regole, spostarsi nel menu Windows file server e selezionare l’opzione corrispondente nella sezione Quando viene creato un nuovo file o directory in una cartella condivisa.

Avvertimento

L’impostazione Owning group di una cartella condivisa non influisce sul proprietario di una risorsa. Vedi anche la sezione Permessi di accesso qui sopra

Accesso amministrativo

La pagina Windows file server consente di concedere privilegi speciali ai membri del gruppo Domain Admins:

  • estendere l’autorizzazione del proprietario abilitando il Assegna il controllo completo sulle cartelle condivise al gruppo Domain Admins

  • accedere alle home directory degli altri utenti abilitando Concedi il pieno controllo sulle home directory al gruppo Domain Admins (home $ share). Per accedere alle home directory, è sufficiente connettersi alla condivisione nascosta home $. Ad esempio, l’indirizzo di rete SMB è:

    \\MYSERVER\home$
    \\192.168.1.2\home$
    

Auditing

Samba audit è un modulo che consente di tenere traccia di tutte le attività effettuate dagli utenti sulle cartelle condivise. Il controllo è disabilitato per impostazione predefinita e deve essere abilitato esplicitamente per ogni cartella.

Le azioni vengono registrate su un file durante il giorno e vengono spostate durante la notte in un database consultabile.

L’interfaccia web del report è disponibile nel vecchio Server Manager dalla pagina Applicazioni, mentre il nuovo Server Manager (Cockpit) integra una nuova interfaccia all’interno dell’applicazione File server.