Dateien schreibgeschützt?

german

#1

Hallo,

ich habe folgenden Effekt: Ich öffne eine Word-/Excel-Datei auf einem Share, welche von einem anderen User erstellt wurde, ändere diese und speichere sie zurück. Dann erhält die Datei aber das “Schreibgeschützt”-Attribut.

Der Effekt wird als Klassiker auch in den Samba-Howtos beschrieben:
gertranssmb3.berlios.de/output/A … #id2540301

Nun habe ich aber keine Ahnung, an welcher “Schraube” ich drehen muss, um den Workaround im UCS-Admin abzubilden.

Kann mir da jemand helfen?


ACL für Freigaben setzen?
#2

Hallo,

[quote=“holgerw”]ich habe folgenden Effekt: Ich öffne eine Word-/Excel-Datei auf einem Share, welche von einem anderen User erstellt wurde, ändere diese und speichere sie zurück. Dann erhält die Datei aber das “Schreibgeschützt”-Attribut.

Der Effekt wird als Klassiker auch in den Samba-Howtos beschrieben:
gertranssmb3.berlios.de/output/A … #id2540301

Nun habe ich aber keine Ahnung, an welcher “Schraube” ich drehen muss, um den Workaround im UCS-Admin abzubilden.

Kann mir da jemand helfen?[/quote]
Der beschriebene Workaround wäre in UCS folgendermaßen umzusetzen:
[ul]

  • Wenn die Freigabe unterhalb des Verzeichnisses /shares/word liegt, muss auf das Verzeichnis das Sticky-Bit für die Gruppe gesetzt werden: chmod g+s /shares/word
  • Anschließend muss in Univention Admin (in den Einstellungen zu der Freigabe) folgendenes angepasst werden:
    [list]
  • Auf dem Reiter Samba-Rechte müssen in dem Attribut ‘Erzwinge Dateimodus’ die Lese- und Schreibrechte für Besitzer und Gruppe gesetzt werden.
  • Auf dem Reiter Samba-Rechte müssen in dem Attribut ‘Erzwinge Verzeichnismodus’ die Lese-, Schreib- und Zugriffsrechte für Besitzer und Gruppe gesetzt werden.
    [/ul]
    [/list:u]
    Danach werden alle Dateien in der Freigabe für die Gruppe schreibbar abgelegt. Es sollte also darauf geachtet werden welcher Gruppe das Verzeichnis gehört.

Alternativ kann auch mit POSIX ACLs gearbeitet werden. Damit können für Dateien und Verzeichnisse Rechte für mehrere Benutzer und Gruppen definiert werden. Über Samba ist auch eine Vererbung der Rechte möglich.

Mit freundlichen Grüßen
Andreas Büsching


#3

Hallo Herr Büsching,

vielen Dank für die Antwort.

Wir arbeiten ausschliesslich mit ACL’s. Hier habe ich für jede Freigabe den Domain Admins und der jeweiligen Arbeitsgruppe via setfacl Vollrechte (rwx) auf alle Ordner und Unterordner gegeben.

Muss ich jetzt trotzdem noch das Sticky-Bit für alle Dateien/Ordner setzen? Und wenn ja, kann ich das gefahrlos für alle Objekte in allen Shares mit der chown-Rekursivoption machen?

Die “Erzwungenen Datei-/Verzeichnisrechte” hatte ich wie im Samba-Howto beschrieben auch gesetzt. Dies wirkt sich jetzt aber nur - soweit ich das beobachten konnte - auf neu erstellte Dateien aus. D.h. die User müssten das Dokument öffnen, unter einem neuen Namen abspeichern, das alte Dokument löschen und das neu erstellte wieder umbenennen. Korrekt?


#4

Hallo,

[quote=“holgerw”]
Wir arbeiten ausschliesslich mit ACL’s. Hier habe ich für jede Freigabe den Domain Admins und der jeweiligen Arbeitsgruppe via setfacl Vollrechte (rwx) auf alle Ordner und Unterordner gegeben.

Muss ich jetzt trotzdem noch das Sticky-Bit für alle Dateien/Ordner setzen? Und wenn ja, kann ich das gefahrlos für alle Objekte in allen Shares mit der chown-Rekursivoption machen?[/quote]

Wenn Sie das Sticky-Bit für die Gruppe setzen können Sie sicherstellen, dass neue Dateien und Verzeichnisse immer der gleichen Gruppe gehören (wird normalerweise der Primären Gruppe des jeweiligen Benutzers zugeordnet).

Alternativ können Sie die Erzwungenen Rechte aber auch so setzen, dass die Gruppe der Datei keine Rechte hat und Sie setzen mittels der POSIX (Default) ACLs die entsprechenden Berechtigungen.

Für existierende Dateien und Verzeichnisse können Sie diese Rechte bzw. das Sticky Bit auch nachträglich anpassen. Dabei müssen Sie aber ebenfalls prüfen, ob die Berechtigungen ebenfalls noch angepasst werden müssen. Setzen müssen sie das Sticky-Bit auch nur für Verzeichnisse. Bei den existierenden Dateien müssen Sie nur die primäre Gruppe anpassen.

Sie können auch als root auf dem Server die Berechtigungen der entsprechenden Dateien und Verzeichnisse korrigieren. Dafür müssen Sie eventuell auch die Primäre Gruppe und die POSIX ACLs anpassen.

Wichtig noch für die Vererbung von Rechten: Sie können entweder per Option an der Freigabe konfigurieren, dass Samba die Vererbung der Rechte und ACLs übernimmt oder Sie verwenden POSIX Default ACLs.

Mit freundlichen Grüßen
Andreas Büsching