SAMBA. Контроль доступа к модулю

Вы можете создать пользователей Webmin и дать им ограниченный набор прав. Для модуля Samba, например, вы можете дать права пользователю только на редактирование настроек существующих общедоступных объектов и запретить создание новых ресурсов или разрешить редактирование глобальных настроек. Это может быть удобно, если вы хотите предоставить доступ до настроек Samba через Webmin еще кому-то. Webmin позволяет делегировать как все права так и часть из них.

Мы несоветуем предоставление даже ограниченного доступа к этому модулю для ненадежных пользователей, поскольку он имеет много особенностей которые могут быть использованы злоумышленником для получения root доступа. Например, кто-то может разрешить гостевой доступ к ресурсам со всеми правами на работу с файлами. Или они могут ввести команду которая при входе root пользователя, меняла бы его пароль.

Поэтому в модуле предусмотрены некоторые настройки позволяющие ограничить доступ к возможностям неопытных пользователей или выдать ряд прав проверенным пользователям. Чтобы ограничить пользователей только возможностью редактирования настроек нескольких ресурсов, выполните следующие действия:

1. В модуле пользователей Webmin, создайте пользователя, которому бы вы хотели делегировать права на Samba или измените существующего пользователя предоставив ему доступ. Для работы с пользователями Webmin, перейдите в Webmin -> Webmin users.

Рисунок 1 - Главная страница модуля Webmin users. Для увеличения картинки, намжите на неё

Рисунок 2 - Форма создания нового пользователя Webmin. Для увеличения картинки, нажмите на неё

2. Нажмите на имя пользователя, которому хотите делегировать права на Samba.

Рисунок 3 - Главная страница модуля Webmin users. Для увеличения картинки, нажмите на неё

3. Затем нажмите на Samba Windows File Sharing(Samba сервис), чтобы получить доступ к форме редактирования контроля доступа.

Рисунок 4 - Форма редактирования пользователя Webmin. Для увеличения картинки, нажмите на неё

3. Изменить поле Can edit module configuration?(Может изменять настройки модуля?) в значение No(Нет) .

4. Установите поля с Can apply changes?(Может применять измения?) по Can maintain auto UNIX to SAMBA users sync?(Может управлять автосинхронизацией пользователей?) в значение No(Нет). Так как они управляют доступом к глобальным настройкам и пользователи незачем их трогать.

5. Чтобы скрыть, ресурсы к которым пользователь не имеет доступа установите поле Hide inaccessible objects?(Спрятать недоступные объекты?) в значение Yes(Да). Если будет значение No(Нет), то он сможет их видеть, но нажатие на любую из недоступных вызовет ошибку доступа.

6. В поле Access file shares(доступ к файловым ресурсам) снимите флаг на создание, но оставьте на чтение и запись выбранными. Сделайте то же самое и с полем Access printer shares(доступ к общим принтерам). Это не означает, что он сможет редактировать все ресурсы. В предпоследнем пункте вы можете выбрать те ресурсы, которые ему можно будет редактировать.

7. Изменить поля Enable per-file_share acls(Включить редактирование списков доступа к файловым ресурсам) и Enable per-print-share acls(Включить редактирование списков доступа к общим принтерам) в значение Yes(Да) и вы получите возможность работы с опциями описанными в следующем шаге.

8. В таблице Per-share ACLs(списки к каждому ресурсу) выберите n/a(отсутствуют) в столбцах Access share(Доступ к ресурсу) и Connections(Соединения) для всех ресурсов, которые не разрешено конфгурировать пользователю. Вы можете определить это глобально к (Default shares)ресурсу по умолчанию и тогда это будет применено ко всем объектам по умолчанию.

Для ресурсов, которые вы хотите отдать в управление пользователю, выберите read write(чтение запись) в колонке Access share(Доступ к ресурсу). Чтобы разрешть пользователю уничтожать сессии клиентов к этому ресурсу, выберите kill(убить) в колонке Connections(Соединения). Или можете дать ему право только просматривать клиентов, которые подключены к ресурсу, установив значение View(просматривать). Первый вариант является не очень хорошей идеей с точки зрения безопасности, поскольку она позволяет пользователю уничтожить любой процесс в системе.

Радио-кнопки в колонках security(безопасность), permissions(права), file naming(именование файлов) и miscellaneous(прочее) или printer(принтер) служат для определения широты настройки общего ресурса пользователем. Для каждой колонки вы можете определить права пользователя - edit(редактировать), view(только просмотр настроек) или n/a для запрета доступа.

Рисунок 5 - Форма контроля доступа к модулю. Для увеличения картинки, нажмите на неё

9. Нажмите кнопку "Сохранить" внизу страницы, чтобы активировать новые настройки управления доступом.




Ссылки:

К содержанию

© Copyright 2004-2017 - CMS Made Simple
Сайт работает на CMS Made Simple version 1.4.1

© Все печеньки Break-people.ru принадлежат авторам проекта.

Яндекс цитирования Рейтинг@Mail.ru Яндекс.Метрика