Erweiterte Samba-Rechte II

UCS - Univention Corporate Server
, ,
#1

Gruppenschreibrechte für User der selben Gruppe unterbinden

Hallo …

Zur Ausgangslage

UCS 4.4-8 errata 1010
Samba version: 4.10.18-Univention
Freigabe/n: hier zum Beispiel … (Grundschule Grüntal, Klasse1B)

GSG-1B (/home/GSG/groups/klassen/GSG-1B auf serverxy)

Freigabeeinstellungen

grafik

grafik

grafik

grafik

grafik

Die dazugehörige Konfigurationsdatei zu den Erweiterten Samba-Rechten …

# cat /etc/samba/shares.conf.d/GSG-1B

[GSG-1B]
path = /home/GSG/groups/klassen/GSG-1B
vfs objects = acl_xattr
msdfs root = no
writeable = yes
browseable = no
public = no
dos filemode = no
hide unreadable = no
create mode = 0640
directory mode = 0750
force create mode = 0640
force directory mode = 0750
locking = 1
blocking locks = 1
strict locking = Auto
oplocks = 1
level2 oplocks = 1
fake oplocks = 0
csc policy = manual
force group = +GSG-1B
nt acl support = 1
inherit acls = 1
inherit owner = no
inherit permissions = no
map acl inherit = yes

Zum Problem

Nach den oben gezeigten Einstellungen erwartete ich beim Erstellen neuer Verzeichnisse unterhalb von GSG-1B die folgenden Berechtigungen …

# ls -la /home/GSG/groups/klassen/GSG-1B

...
drwxr-x---+  2 schueler02 GSG-1B  4096 Sep  2 19:03 schueler02
drwxr-x---+  2 schueler03 GSG-1B  4096 Sep  2 18:57 schueler03

Stattdessen erhalte ich immer wieder diese Berechtigungen …

# ls -la /home/GSG/groups/klassen/GSG-1B

...
drwxrwxr-x+  2 schueler02 GSG-1B  4096 Sep  2 19:03 schueler02
drwxrwxr-x+  2 schueler03 GSG-1B  4096 Sep  2 18:57 schueler03

Ziel ist es, dass jeder Schüler sein eigenes Verzeichnis erstellt,
die anderen Schüler der selben Klasse aber nur lesend darauf zugreifen dürfen.

Was übersehe ich hier … ACLs … ?

Diese sieht für das Wurzelverzeichnis so aus …

# getfacl /home/GSG/groups/klassen/GSG-1B

getfacl: Entferne führende '/' von absoluten Pfadnamen
# file: home/GSG/groups/klassen/GSG-1B
# file: home/GSG/groups/klassen/GSG-1B
# owner: root
# group: GSG-1B
user::rwx
user:root:rwx
group::rwx
group:admins-gsg:rwx
group:GSG-1B:r-x
mask::rwx
other::---
default:user::rwx
default:user:root:rwx
default:group::r-x
default:group:admins-gsg:rwx
default:group:GSG-1B:rwx
default:mask::rwx
default:other::r-x

Ich habe schon versucht, dies zu korrigieren …

# setfacl -m g:GSG-1B:rx /home/GSG/groups/klassen/GSG-1B/

Aber ich gestehe, da weiß ich (noch) zu wenig über Priorität, Wirkung und Möglichkeiten.

Kann mir jemand weiterhelfen … wo mein Fehler liegt ?

Vielen Dank - Dietmar

Mastodon