Frage zu SMB-Freigabe für Zugriff auf Unterordner in Ebene2

UCS - Univention Corporate Server
#1

Hallo,
ich möchte, dass ein User auf einen Unterordner in Ebene2 einer SMB-Freigabe vom UCS zugreifen kann obwohl er auf die Ordner der Ebene1 keinen Zugriff hat.

\\UCS\Freigabe\Ebene1\Ebene2
\\UCS\Freigabe = User hat Schreibzugriff
.\Ebene1 = User hat keinen Zugriff
.\Ebene2 = User hat Schreibzugriff

Klar ist, dass der User sich nicht durch die Verzeichnisse bis .\Ebene2 hangeln kann, da der fehlende Zugriff ihn für .\Ebene1 blockiert. Stattdessen soll der User direkt “\UCS\Freigabe\Ebene1\Ebene2” aufrufen. Dies wird dem User aber verweigert.

Genau das Konstrukt konnte ich aber mit einem Windows Server nachbilden und den Zugriff auf .\Ebene2 ermöglichen.

Was mache ich falsch?

Alternativ möchte ich den Ordner .\Ebene2 direkt als SMB-Freigabe im UCS anlegen und dann dem User zur Verfügung stellen. Aber auch da wird der Zugriff nicht erlaubt.

Gruß,
Peter

#2

Huhu,

damit eine Benutzerin Zugriff auf einen Ordner hat, muss sie das Ausführen-Bit für den Ordner selber und alle darüber liegenden Ordner haben. Woher das Ausführen-Bit kommt (über Beistzerin, Gruppe oder Andere, oder über ACLs) ist dabei unwichtig. Ob der Zugriff direkt unter Linux oder über Samba erfolgt, ist dabei ebenfalls egal, weil Samba nicht das Programm ist, das den Zugriff prüft, sondern der Linux-Kernel selber, also die unterste Ebene.

Damit die Benutzerin also \\server\Freigabe\E1\E2 direkt eingeben und aufrufen kann, muss mindestens folgendes gelten:

  • Benutzerin hat Ausführen auf /pfad/zur/Freigabe, /pfad/zur/Freigabe/E1 und /pfad/zur/Freigabe/E1/E2
  • Sinnvollerweise hat sie auch das Lesen-Recht auf /pfad/zur/Freigabe/E1/E2, um den Verzeichnisinhalt (also die Liste der darin enthaltenen Ordner und Dateien) auflisten zu lassen.

Wenn die Benutzerin auf /pfad/zur/Freigabe oder /pfad/zur/Freigabe/E1 keine Lese-Rechte hat, so ist es extrem nervig für die Benutzerin, zur …/E2 zu gelangen — das geht dann effektiv nur durch direkte Eingabe. Daher würde ich eher empfehlen, für …/E2 eine eigene Freigabe einzurichten. Davon unabhängig gilt weiter, was ich oben bzgl. des Ausführen-Rechts geschrieben hatte.

Gruß
mosu

#3

Vielen Dank. Damit hat es dann geklappt.

Peter

Mastodon