Kein Zugriff auf Gruppenordner

04/01/2012 - 00:28 von Stefan H | Report spam
Hallo,
ich habe für ein kleineres Büro einen Samba PDC aufgesetzt, der zum
Großteil schon problemlos làuft. Allerdings gibt es diverse
diskrepanzen zwischen den Unix Dateirechten und denen die über Samba
in Windows 7 verfügbar sind.

Samba Version ist 3.5.6 auf Debian.

Zunàchst meine smb.conf:
-
[global]
## Server Identifikation - so meldet sich der Server im Netzwerk
netbios name = SCM-SRV-01
server string = Domain Server (%h)
workgroup = SCM
## Tells Samba which network interfaces to use:
interfaces = eth1 eth2 eth3
bind interfaces only = yes
## Sicherheits- und Passwort-Einstellungen
security = user
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n *Retype\snew\sUNIX
\spassword:* %n .
## Domain-Einstellungen
local master = yes
preferred master = yes
os level = 200
domain master = yes
domain logons = yes
logon path = \\%L\%U\profile
logon drive = h:
logon script = login.bat
profile acls = yes
hide files = /desktop.ini/ntuser.ini/NTUSER.*/Thumbs.db/AppData/
profile.V2/
hide dot files = yes
wins support = no
## Log-Einstellungen
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
socket options = TCP_NODELAY

#== Share Definitions =
[homes]
comment = Home Directories
browseable = no
valid users = %S
writeable = yes
create mode = 0600
directory mode = 0700

[netlogon]
comment = Network Logon Service
path = /home/samba/netlogon
guest ok = yes
writeable = no
share modes = no

[groups]
writable = yes
path = /home/groups
force group = users
comment = All group folders
create mode = 660
directory mode = 770


und die Ausgabe von net groupmap list:
Domain Users (S-1-5-21-2431676908-1022338963-3230702413-513) -> users
Domain Guests (S-1-5-21-2431676908-1022338963-3230702413-514) ->
guests
Domain Admins (S-1-5-21-2431676908-1022338963-3230702413-512) ->
domainadmin

Das Problem ist, dass Benutzer nicht auf die Groupshare Ordner
zugreifen können, obwohl die entsprechenden Gruppenrechte gesetzt
sind. Alle auf dem System angelegten Benutzer befinden sich in der
primàren gruppe users. Alle Mitarbeiter sind zusàtzlich noch in der
Gruppe mitarbeiter.
/home/groups/ ist mit folgenden Rechten versehen:
drwxr-x-- 11 root users 4096 2. Jan 13:08 groups/

Benutzer können aber nur auf das share Zugreifen, wenn der Ordner
globale (world) Leserechte besitzt, oder sie in der gruppe
domainadmin sind. Ich würde allerdings auf Dauer ungern alle Nutzer
als Domainadmin betreieben.

Selbes gilt auch die Unterordner:
ls -l /home/groups/
drwxrwx--x 12 root admins 4096 31. Dez 12:15 Admins
drwxrwx 9 root mitarbeiter 4096 30. Dez 15:41 Archiv
drwxrwx 11 root buchhaltung 4096 3. Jan 16:37 Buchhaltung
drwxrwx 4 root mitarbeiter 4096 3. Jan 18:04 Media
drwxr-x 4 root mitarbeiter 4096 2. Jan 08:51 PDFs

Hier gibt es diverse Ordner die immer für die entsprechenden Gruppe
volle Zugriffsrechte haben. Allerdings können Benutzer die Mitglied
der Gruppe sind überhaupt nicht lesen.
Wenn man Benutzer testweise in die Gruppe domainadmin mit aufnimmt
funktionieren die Rechte wie erwartet. Benutzer können genau auf die
Ordner Zugreifen in für die sie die entsprechenden Rechte haben. Die
Unix Rechte stimmen also. Irgendwas làuft hier noch mit dem mapping
von Samba Guppen auf Unix Gruppen falsch. Ich finde nur nicht heraus
was.

Anlegen von weiteren groupmappings hatte auch keinen Erfolg. Die
Aufnahme des Parameters valid users = @users in [groups] hat auch
nicht geholfen.

Es wàre schön wenn vielleicht hier jemand weiter weiß.

Danke,
Stefan
 

Lesen sie die antworten

#1 Wilhelm C. Schütze
04/01/2012 - 23:41 | Warnen spam
Am 03.01.2012 schrieb Stefan H:

Selbes gilt auch die Unterordner:
ls -l /home/groups/
drwxrwx--x 12 root admins 4096 31. Dez 12:15 Admins
drwxrwx 9 root mitarbeiter 4096 30. Dez 15:41 Archiv
drwxrwx 11 root buchhaltung 4096 3. Jan 16:37 Buchhaltung
drwxrwx 4 root mitarbeiter 4096 3. Jan 18:04 Media
drwxr-x 4 root mitarbeiter 4096 2. Jan 08:51 PDFs

Hier gibt es diverse Ordner die immer für die entsprechenden Gruppe
volle Zugriffsrechte haben. Allerdings können Benutzer die Mitglied
der Gruppe sind überhaupt nicht lesen.
Wenn man Benutzer testweise in die Gruppe domainadmin mit aufnimmt
funktionieren die Rechte wie erwartet. Benutzer können genau auf die
Ordner Zugreifen in für die sie die entsprechenden Rechte haben. Die
Unix Rechte stimmen also. Irgendwas làuft hier noch mit dem mapping
von Samba Guppen auf Unix Gruppen falsch. Ich finde nur nicht heraus
was.



Ja, da beißt sich was. Ich glaube, du kannst den root nicht so einfach
zum user degradieren, der sich anderen usern manchmal unterordnen muss,
wie du es dir gerade vorstellst bzw. wie es die Rechtevergabe hier
erfordern würde. Lege die Unterverzeichnisse von /home/groups nicht mit
root an, sondern mit einem user aus der jeweiligen Gruppe als owner.
Wenn sie sowieso alles dürfen sollen, auch ihr jeweiliges Verzeichnis
unterhalb von groups löschen, sollte root keins der Verzeichnisse
gehören.

Grüße - Wilhelm

Ähnliche fragen