Red Hat Training

A Red Hat training course is available for RHEL 8

3.7.3. Configuración de ACLs extendidas en un recurso compartido de Samba que utiliza ACLs POSIX

Si el sistema de archivos en el que se almacena el directorio compartido soporta ACLs extendidas, puede utilizarlas para establecer permisos complejos. Las ACLs extendidas pueden contener permisos para múltiples usuarios y grupos.

Las ACLs POSIX extendidas permiten configurar ACLs complejas con múltiples usuarios y grupos. Sin embargo, sólo puede establecer los siguientes permisos:

  • No hay acceso
  • Leer el acceso
  • Acceso de escritura
  • Control total

Si necesita los permisos finos de Windows, como Create folder / append data, configure el recurso compartido para utilizar las ACL de Windows. Consulte Sección 3.9, “Configuración de un recurso compartido que utiliza las ACL de Windows”.

El siguiente procedimiento muestra cómo habilitar las ACL extendidas en un recurso compartido. Además, contiene un ejemplo sobre la configuración de ACL extendidas.

Requisitos previos

  • El recurso compartido de Samba en el que desea establecer las ACL existe.

Procedimiento

  1. Habilite el siguiente parámetro en la sección del recurso compartido en el archivo /etc/samba/smb.conf para habilitar la herencia de ACLs extendidas: 

    heredar acls = si

    Para más detalles, consulte la descripción del parámetro en la página de manual smb.conf(5).

  2. Reinicie el servicio smb: 

    # systemctl restart smb

  3. Establezca las ACL en el directorio. Por ejemplo:

    Ejemplo 3.2. Configuración de ACLs extendidas

    El siguiente procedimiento establece permisos de lectura, escritura y ejecución para el grupo Domain Admins, permisos de lectura y ejecución para el grupo Domain Users y deniega el acceso a todos los demás en el directorio /srv/samba/example/:

    1. Desactivar la concesión automática de permisos al grupo principal de cuentas de usuario: 

      # setfacl -m group::--- /srv/samba/example/
# setfacl -m default:group::--- /srv/samba/example/

      El grupo primario del directorio se asigna adicionalmente a la entidad de seguridad dinámica CREATOR GROUP. Cuando se utilizan ACLs POSIX extendidas en un recurso compartido de Samba, esta entidad de seguridad se añade automáticamente y no se puede eliminar.

    2. Establezca los permisos del directorio:

      1. Conceda permisos de lectura, escritura y ejecución al grupo Domain Admins: 

        # setfacl -m group:"DOMAIN\Domain Admins":rwx /srv/samba/example/

      2. Concede permisos de lectura y ejecución al grupo Domain Users: 

        # setfacl -m group:"DOMAIN\Domain Users":r-x /srv/samba/example/

      3. Establezca los permisos de la entrada ACL other para denegar el acceso a los usuarios que no coincidan con las demás entradas ACL: 

        # setfacl -R -m other::--- /srv/samba/example/

      Estos ajustes se aplican sólo a este directorio. En Windows, estas ACL se asignan al modo This folder only.

    3. Para permitir que los permisos establecidos en el paso anterior sean heredados por los nuevos objetos del sistema de archivos creados en este directorio: 

      # setfacl -m default:group:"DOMAIN\Domain Admins":rwx /srv/samba/example/
# setfacl -m default:group:"DOMAIN\Domain Users":r-x /srv/samba/example/
# setfacl -m default:other::--- /srv/samba/example/

      Con estos ajustes, el modo This folder only para los directores está ahora establecido en This folder, subfolders, and files.

    Samba asigna los permisos establecidos en el procedimiento a las siguientes ACL de Windows:

    PrincipalAcceda aSe aplica a

    Domain\N - Administradores de dominio

    Control total

    Esta carpeta, subcarpetas y archivos

    Domain\N - Usuarios del dominio

    Leer & ejecutar

    Esta carpeta, subcarpetas y archivos

    Everyone [a]

    Ninguno

    Esta carpeta, subcarpetas y archivos

    owner (Unix User\owner) [b]

    Control total

    Esta carpeta sólo

    primary_group (Unix User\primary_group) [c]

    Ninguno

    Esta carpeta sólo

    CREATOR OWNER [d] [e]

    Control total

    Sólo subcarpetas y archivos

    CREATOR GROUP [e] [f]

    Ninguno

    Sólo subcarpetas y archivos

    [a] Samba asigna los permisos para esta entidad de seguridad desde la entrada ACL de other.
    [b] Samba asigna el propietario del directorio a esta entrada.
    [c] Samba asigna el grupo primario del directorio a esta entrada.
    [d] En los nuevos objetos del sistema de archivos, el creador hereda automáticamente los permisos de este principal.
    [e] La configuración o la eliminación de estas entidades de seguridad de las ACL no es compatible con los recursos compartidos que utilizan ACL POSIX.
    [f] En los nuevos objetos del sistema de archivos, el grupo principal del creador hereda automáticamente los permisos de este principal.