Added new admx for samba usershare controls.

2025-01-23 10:03:47 +03:00 · 2022-12-26 14:36:24 +04:00 · 2022-12-26 14:36:24 +04:00 · 45964fb57f
commit 45964fb57f
parent 464f5529d5
6 changed files with 231 additions and 0 deletions
--- a/BaseALT.admx
+++ b/BaseALT.admx
@ -90,6 +90,9 @@
    <category name="ALT_Systemd" displayName="$(string.ALT_Systemd)" explainText="$(string.ALT_Systemd_Help)">
      <parentCategory ref="ALT_Services" />
    </category>
+    <category name="ALT_SambaOptions" displayName="$(string.ALT_SambaOptions)"  explainText="$(string.ALT_SambaOptions_Help)" >
+      <parentCategory ref="ALT_Services" />
+    </category>
    <category name="ALT_Network" displayName="$(string.ALT_Network)" explainText="$(string.ALT_Network_Help)">
      <parentCategory ref="ALT_System" />
    </category>
--- a/BaseALTControl.admx
+++ b/BaseALTControl.admx
@ -1254,6 +1254,76 @@
          </item>
        </enum>
      </elements>
+    </policy>
+       <policy class="Machine" displayName="$(string.smb-conf-usershares)" explainText="$(string.smb-conf-usershares_help)" key="Software\BaseALT\Policies\Control" valueName="smb-conf-usershares" name="smb-conf-usershares">
+      <parentCategory ref="system:ALT_SambaOptions"/>
+      <supportedOn ref="system:SUPPORTED_AltP10"/>
+      <enabledValue>
+        <string>enabled</string>
+      </enabledValue>
+      <disabledValue>
+        <string>disabled</string>
+      </disabledValue>
+    </policy>
+    <policy class="Machine" displayName="$(string.role-usershares)" explainText="$(string.role-usershares_help)" key="Software\BaseALT\Policies\Control" valueName="role-usershares" name="role-usershares">
+      <parentCategory ref="system:ALT_SambaOptions"/>
+      <supportedOn ref="system:SUPPORTED_AltP10"/>
+      <enabledValue>
+        <string>enabled</string>
+      </enabledValue>
+      <disabledValue>
+        <string>disabled</string>
+      </disabledValue>
+    </policy>
+    <policy class="Machine" displayName="$(string.role-sambashare)" explainText="$(string.role-sambashare_help)" key="Software\BaseALT\Policies\Control" valueName="role-sambashare" name="role-sambashare">
+      <parentCategory ref="system:ALT_SambaOptions"/>
+      <supportedOn ref="system:SUPPORTED_AltP10"/>
+      <enabledValue>
+        <string>enabled</string>
+      </enabledValue>
+      <disabledValue>
+        <string>disabled</string>
+      </disabledValue>
+    </policy>
+    <policy class="Machine" displayName="$(string.smb-conf-usershare-allow-guests)" explainText="$(string.smb-conf-usershare-allow-guests_help)" key="Software\BaseALT\Policies\Control" valueName="smb-conf-usershare-allow-guests" name="smb-conf-usershare-allow-guests">
+      <parentCategory ref="system:ALT_SambaOptions"/>
+      <supportedOn ref="system:SUPPORTED_AltP10"/>
+      <enabledValue>
+        <string>enabled</string>
+      </enabledValue>
+      <disabledValue>
+        <string>disabled</string>
+      </disabledValue>
+    </policy>
+    <policy class="Machine" displayName="$(string.smb-conf-usershare-allow-list)" explainText="$(string.smb-conf-usershare-allow-list_help)" key="Software\BaseALT\Policies\Control" valueName="smb-conf-usershare-allow-list" name="smb-conf-usershare-allow-list">
+      <parentCategory ref="system:ALT_SambaOptions"/>
+      <supportedOn ref="system:SUPPORTED_AltP10"/>
+      <enabledValue>
+        <string>enabled</string>
+      </enabledValue>
+      <disabledValue>
+        <string>disabled</string>
+      </disabledValue>
+    </policy>
+    <policy class="Machine" displayName="$(string.smb-conf-usershare-deny-list)" explainText="$(string.smb-conf-usershare-deny-list_help)" key="Software\BaseALT\Policies\Control" valueName="smb-conf-usershare-deny-list" name="smb-conf-usershare-deny-list">
+      <parentCategory ref="system:ALT_SambaOptions"/>
+      <supportedOn ref="system:SUPPORTED_AltP10"/>
+      <enabledValue>
+        <string>enabled</string>
+      </enabledValue>
+      <disabledValue>
+        <string>disabled</string>
+      </disabledValue>
+    </policy>
+    <policy class="Machine" displayName="$(string.smb-conf-usershare-owner-only)" explainText="$(string.smb-conf-usershare-owner-only_help)" key="Software\BaseALT\Policies\Control" valueName="smb-conf-usershare-owner-only" name="smb-conf-usershare-owner-only">
+      <parentCategory ref="system:ALT_SambaOptions"/>
+      <supportedOn ref="system:SUPPORTED_AltP10"/>
+      <enabledValue>
+        <string>enabled</string>
+      </enabledValue>
+      <disabledValue>
+        <string>disabled</string>
+      </disabledValue>
    </policy>
  </policies>
 </policyDefinitions>
--- a/en-US/basealt.adml
+++ b/en-US/basealt.adml
@ -27,6 +27,9 @@
      <string id="ALT_SSSD_Help">SSSD options configuration.</string>
      <string id="ALT_Systemd">Systemd</string>
      <string id="ALT_Systemd_Help">Systemd options configuration.</string>
+      <string id="ALT_SambaOptions">Samba</string>
+      <string id="ALT_SambaOptions_Help">Samba options configuration.</string>
+
      <string id="ALT_Network">Network Applications</string>
      <string id="ALT_Network_Help">Configuration of system.</string>
      <string id="ALT_CD_DVD">CD/DVD Applications</string>
--- a/en-US/basealtcontrol.adml
+++ b/en-US/basealtcontrol.adml
@ -741,6 +741,84 @@ Only root — Only superuser (root) is permitted to run /usr/bin/Xorg
      <string id="xorg-server_public">Any user</string>
      <string id="xorg-server_xgrp">Group xgrp</string>
      <string id="xorg-server_restricted">Only root</string>
+     <string id="role-usershares">Access for members of the «users» group to Network Shares</string>
+      <string id="role-usershares_help">Allow members of the «users» group to access Network Shares through the privileges of the «usershares» group.
+
+Disabled - access to Network Share s is allowed only to members of the «usershares» group;
+
+Enabled - the privileges of the «usershares» group to access Network Shares apply to users included in the «users» group.
+      </string>
+      <string id="role-sambashare">Access for members of the «sambashare» group to Network Shares</string>
+      <string id="role-sambashare_help">Allow members of the «sambashare» group to access Network Shares.
+
+Disabled - deny access to Network Shares to members of the «sambashare» group;
+
+Enabled - allow access to Network Shares to members of the «sambashare» group;
+
+Default - allow access to Network Shares to members of the «sambashare» group.
+      </string>
+      <string id="smb-conf-usershare-allow-guests">Guest access to Network Shares</string>
+      <string id="smb-conf-usershare-allow-guests_help">Allow access to Network Shares without authentication.
+
+The policy controls the «usershare allow guests» setting in smb.conf or usershares.conf, allowing the setting to be set to «yes» or «no». Since the parameter is security sensitive, its default value is «no».
+
+Disabled - deny access to Network Shares without authentication;
+
+Enabled - allow access to Network Shares without authentication;
+
+Default - deny access to Network Shares without authentication.
+      </string>
+      <string id="smb-conf-usershare-allow-list">Permission to create Network Shares in root directory folders</string>
+      <string id="smb-conf-usershare-allow-list_help">The policy defines the folders in the root directory where the user is allowed to create Network Shares.
+
+If the absolute path to the user's Network Shares does not include one of the listed folders in its name, access to the Network Share will be denied.
+This limits the list of folders in the root directory in which it is possible to create user Network Shares. By default, the root folders are set (/home /srv /mnt /media /var).
+If a «usershare prefix deny list» is configured, the deny list is processed first, and then the allow list.
+The policy controls the «usershare prefix allow list» setting in the usershares.conf file - opening or closing this setting with a comment.
+
+Disabled - prohibit the creation of Network Shares in system folders from the list;
+
+Enabled - allow creation of Network Shares in system folders from the list.
+      </string>
+      <string id="smb-conf-usershare-deny-list">Prohibit the creation of Network Shares in folders in the root directory</string>
+      <string id="smb-conf-usershare-deny-list_help">The policy defines folders in the root directory where the user is not allowed to create Network Shares.
+
+If the absolute path to the user's public directory starts with one of the listed folders, access to the public directory in that folder will be denied.
+Any other path that does not contain one of the listed folders in the name will allow the creation of the Network Shares.
+This limits the list of folders in the root directory in which it is possible to create user Network Shares. By default, the root folders are set (/etc /dev /sys /proc).
+If a «usershare prefix deny list» and a «usershare prefix allow list» are configured, the deny list is processed first, and then the allow list.
+The policy controls the «usershare prefix deny list» setting in the usershares.conf file - opening or closing this setting with a comment.
+
+Disabled - allow creation of Network Shares in system folders from the list;
+
+Enabled - prohibit the creation of Network Shares in system folders from the list.
+      </string>
+      <string id="smb-conf-usershare-owner-only">Access to Network Shares of other users</string>
+      <string id="smb-conf-usershare-owner-only_help">The policy controls the user's right to access a Network Shares if the user is not the owner of that directory.
+
+If the policy is enabled, the system will check the access rights to the Network Shares and deny access to those users who do not own it.
+If the policy is disabled, this check will not be performed and any directory can be shared, regardless of who owns it. The policy changes the «usershare owner only» setting in the usershares.conf file.
+
+Disabled - open access to Network Shares of other users;
+
+Enabled - restrict public access, leaving access only to Network Shares owned by the user;
+
+Default - access to shared directories is limited - only those Network Shares that he created are available to the user.
+      </string>
+      <string id="smb-conf-usershares">Limit on Network Shares</string>
+      <string id="smb-conf-usershares_help">Controls the number of Network Shares that users who belong to the usershares group can create.
+
+By default, the «usershare max shares» setting is zero, and user shares are ignored.
+The usershares directory is for creating Network Shares. The usershares directory is owned by the usershares group and the users belonging to this group.
+The «usershare max shares» parameter sets the number of shares that the specified users can create.
+The policy controls the «usershare max shares» setting in the smb.conf file.
+
+Disabled - disable access to the user's Network Shares; «usershare max shares» parameter = 0;
+
+Enabled - enable access to the user's Network Shares; «usershare max shares» parameter = 100;
+
+Default - disable access to Network Shares the parameter «usershare max shares» is closed by a comment.
+      </string>
    </stringTable>
    <presentationTable>
      <presentation id="at">
--- a/ru-RU/basealt.adml
+++ b/ru-RU/basealt.adml
@ -27,6 +27,9 @@
      <string id="ALT_SSSD_Help">Настройка опций SSSD.</string>
      <string id="ALT_Systemd">Systemd</string>
      <string id="ALT_Systemd_Help">Настройка опций Systemd.</string>
+      <string id="ALT_SambaOptions">Samba опции</string>
+      <string id="ALT_SambaOptions_Help">Настройка опций Samba.</string>
+
      <string id="ALT_Network">Сетевые приложения</string>
      <string id="ALT_Network_Help">Настройка параметров сетевых приложений.</string>
      <string id="ALT_CD_DVD">Приложения для CD/DVD</string>
--- a/ru-RU/basealtcontrol.adml
+++ b/ru-RU/basealtcontrol.adml
@ -736,6 +736,80 @@ SSSD — использовать метод проверки подлиннос
       <string id="xorg-server_public">Любой пользователь</string>
       <string id="xorg-server_xgrp">Группа xgrp</string>
       <string id="xorg-server_restricted">Только root</string>
+     <string id="smb-conf-usershares">Лимит на общие каталоги</string>
+      <string id="smb-conf-usershares_help">Управление параметром числа общих каталогов, которые могут создать пользователи, принадлежащие к группе usershares.
+По умолчанию параметр «usershare max shares» равен нулю, и общие каталоги пользователя игнорируются.
+Каталог usershares предназначен для создания каталогов общего доступа. Владелец каталога usershares - группа usershares и пользователи, принадлежащие к этой группе.
+Параметр «usershare max shares» устанавливает количество общих каталогов, которые могут создать указанные пользователи.
+Политика управляет параметром «usershare max shares» в файле smb.conf.
+
+Выключено - отключить доступ к общим каталогам пользователя; параметр «usershare max shares» = 0;
+
+Включено - включить доступ к общим каталогам пользователя; параметр «usershare max shares» = 100;
+
+По умолчанию - отключить доступ к общим каталогам; параметр  «usershare max shares» закрыт комментарием.
+      </string>
+      <string id="role-usershares">Доступ членам группы «users» к общим каталогам</string>
+      <string id="role-usershares_help">Разрешение членам группы «users» на доступ к общим каталогам через привилегии группы «usershares».
+
+Выключено - доступ к общим каталогам разрешен только членам группы «usershares»;
+
+Включено - привилегии группы «usershares» на доступ к общим каталогам распространяются на пользователей, входящие в группу «users».
+      </string>
+      <string id="role-sambashare">Доступ членам группы «sambashare» к общим каталогам</string>
+      <string id="role-sambashare_help">Разрешение членам группы «sambashare» на доступ к общим каталогам.
+
+Выключено - запретить доступ к общим каталогам членам группы «sambashare»;
+
+Включено - разрешить доступ к общим каталогам членам группы «sambashare»;
+
+По умолчанию - разрешить доступ к общим каталогам членам группы «sambashare».
+      </string>
+      <string id="smb-conf-usershare-allow-guests">Гостевой доступ к общим каталогам</string>
+      <string id="smb-conf-usershare-allow-guests_help">Разрешить доступ к общим каталогам без проверки подлинности.
+
+Политика управляет параметром «usershare allow guests» в smb.conf или usershares.conf, позволяя присвоить параметру значения «yes» или «no». Поскольку параметр чувствителен к безопасности, по умолчанию его значение «no».
+
+Выключено - запретить доступ к общим каталогам без проверки подлинности;
+
+Включено - разрешить доступ к общим каталогам без проверки подлинности;
+
+По умолчанию - запретить доступ к общим каталогам без проверки подлинности.
+      </string>
+      <string id="smb-conf-usershare-allow-list">Разрешение на создание общих каталогов в папках корневого каталога</string>
+      <string id="smb-conf-usershare-allow-list_help">Политика определяет папки в корневом каталоге, в которых пользователю разрешено создавать общие каталоги.
+Если абсолютный путь к общему каталогу пользователя не содержит в имени одну из перечисленных папок, доступ к общему каталогу будет запрещен.
+Таким образом ограничивается список папок в корневом каталоге, в которых возможно создавать общие каталоги пользователя. По умолчанию заданы корневые папки (/home /srv /mnt /media /var).
+Если настроен список запрещенных каталогов «usershare prefix deny list», сперва обрабатывается список запрета, а затем уже список разрешений.
+Политика управляет параметром «usershare prefix allow list» в файле usershares.conf - открывая или закрывая комментарием этот параметр.
+
+Выключено - запретить создание общих каталогов в системных папках из списка;
+
+Включено - разрешить создание общих каталогов в системных папках из списка.
+      </string>
+      <string id="smb-conf-usershare-deny-list">Запрет на создание общих каталогов в папках корневого каталога</string>
+      <string id="smb-conf-usershare-deny-list_help">Политика определяет папки в корневом каталоге, в которых пользователю запрещено создавать общие каталоги.
+Если абсолютный путь к общему каталогу пользователя начинается с одной из перечисленных папок, доступ к общему каталогу в этой папке будет запрещен.
+Любой другой путь, не содержащий в имени одну из перечисленных папок, разрешит создание общего каталога.
+Таким образом ограничивается список папок в корневом каталоге, в которых возможно создавать общие каталоги пользователя. По умолчанию заданы корневые папки (/etc /dev /sys /proc).
+Если настроен список запрещенных каталогов «usershare prefix deny list», и список разрешенных каталогов «usershare prefix allow list», сперва обрабатывается список запрета, а затем уже список разрешений.
+Политика управляет параметром «usershare prefix deny list» в файле usershares.conf - открывая или закрывая комментарием этот параметр.
+
+Выключено - разрешить создание общих каталогов в системных папках из списка;
+
+Включено - запретить создание общих каталогов в системных папках из списка.
+      </string>
+      <string id="smb-conf-usershare-owner-only">Доступ к общим каталогам других пользователей</string>
+      <string id="smb-conf-usershare-owner-only_help">Политика управляет правом пользователя на доступ к общему каталогу, если пользователь не является владельцем этого каталога.
+Если политика включена, система проверит права на доступ к общему каталогу и запретит доступ тем пользователям, которые не являются его владельцами.
+Если политика выключена, такая проверка не будет выполняться и любой каталог может быть общим, независимо от того, кто им владеет. Политика меняет параметр «usershare owner only» в файле usershares.conf.
+
+Выключено - открыть доступ к общим каталогам других пользователей;
+
+Включено - ограничить общий доступ, оставив доступ только к общим каталогам, принадлежащим пользователю;
+
+По умолчанию - доступ к общим каталогам ограничен - пользователю доступны только те общие каталоги, которые он создал.
+      </string>
    </stringTable>
    <presentationTable>
       <presentation id="at">