3.7.3. Estabelecimento de ACLs estendidas em uma ação Samba que usa ACLs POSIX

Procedimento

1. Habilite o seguinte parâmetro na seção de ações no arquivo /etc/samba/smb.conf para habilitar a herança de ACLs estendidas:

   inherit acls = sim

   Para detalhes, consulte a descrição dos parâmetros na página de manual smb.conf(5).

2. Reinicie o serviço smb:

   # systemctl restart smb

3. Coloque as ACLs no diretório. Por exemplo:

   Exemplo 3.2. Configuração de ACLs estendidas

   O seguinte procedimento estabelece permissões de leitura, escrita e execução para o grupo Domain Admins, ler e executar permissões para o grupo Domain Users, e negar acesso a todos os outros no diretório /srv/samba/example/:

   1. Desativar a concessão automática de permissões para o grupo primário de contas de usuário:

      # setfacl -m group::--- /srv/samba/example/
      # setfacl -m default:group::--- /srv/samba/example/

      O grupo principal do diretório é mapeado adicionalmente à dinâmica CREATOR GROUP principal. Quando você usa POSIX ACLs estendidos em uma ação Samba, este principal é automaticamente adicionado e você não pode removê-lo.

   2. Defina as permissões no diretório:

      1. Conceder permissões de leitura, escrita e execução para o grupo Domain Admins:

         # setfacl -m group:"DOMAIN\Domain Admins":rwx /srv/samba/example/

      2. Conceder permissões de leitura e execução ao grupo Domain Users:

         # setfacl -m group:"DOMAIN\Domain Users":r-x /srv/samba/example/

      3. Definir permissões para a entrada other ACL para negar acesso aos usuários que não correspondem às outras entradas ACL:

         # setfacl -R -m other::--- /srv/samba/example/

      Estas configurações se aplicam somente a este diretório. No Windows, estas ACLs são mapeadas para o modo This folder only.

   3. Para permitir que as permissões definidas na etapa anterior sejam herdadas por novos objetos do sistema de arquivos criados neste diretório:

      # setfacl -m default:group:"DOMAIN\Domain Admins":rwx /srv/samba/example/
      # setfacl -m default:group:"DOMAIN\Domain Users":r-x /srv/samba/example/
      # setfacl -m default:other::--- /srv/samba/example/

      Com estas configurações, o modo This folder only para os comitês está agora definido para This folder, subfolders, and files.

   Samba mapeia as permissões definidas no procedimento para as seguintes ACLs do Windows:

   Principal	Acesse	Aplica-se a
   Domain\Domínios Admins	Controle total	Esta pasta, subpastas e arquivos
   Domain Usuários do domínio	Ler & executar	Esta pasta, subpastas e arquivos
   Everyone [a]	Nenhum	Esta pasta, subpastas e arquivos
   owner (Unix User\owner) [b]	Controle total	Esta pasta somente
   primary_group (Unix User\primary_group) [c]	Nenhum	Esta pasta somente
   CREATOR OWNER [d] [e]	Controle total	Somente subpastas e arquivos
   CREATOR GROUP [e] [f]	Nenhum	Somente subpastas e arquivos
   [a] O Samba mapeia as permissões para este diretor a partir da entrada other ACL. [b] O Samba mapeia o proprietário do diretório para esta entrada. [c] O Samba mapeia o grupo principal do diretório para esta entrada. [d] Nos novos objetos do sistema de arquivo, o criador herda automaticamente as permissões deste principal. [e] Configurando ou removendo estes princípios das ACLs não suportadas em ações que utilizam as ACLs POSIX. [f] On new file system objects, the creator’s primary group inherits automatically the permissions of this principal.