die “erzwungene Gruppe” wird genutzt, um nur den Benutzer, die in der Gruppe sind, Lese- Schreib- und Ausf.- Zugriff zu gewähren.
FEHLER: Auch Benutzer, die nicht in der Gruppe sind, haben vollen Zugriff auf das Share // Das hat alles mal funktioniert … Ich habe jetzt durch Zufall mitbekommen, dass unsere Shares alle weit offen sind …
So haben wir die Freigabe eingerichtet am Beispiel “personal” (Univention 3-21)
Reiter Allgemein
Pfad /shares/personal
Besitzer des Wurzelverz.
root
Benutzergruppe
personal
Dateiberechtigung für das Wurzelverzeichnis der Freigabe
Besitzer und Gruppe alles Ja
Andere “nein”
Setgid / Sticky bit “nein”
Reiter Samba
Samba-Name
personal
Samba-Schreibzugriff: ja
Freigabe wird in der widnows … : ja
Benutzer mit Schreibrechten dürfen … : ja
Alles andere: nein
Erweiterte Eintsellungen Samba Rechte
alles leer ausser
Erzwungene Gruppe
personal
NT ACL Support: ja
Ererbte ACLs: ja
Erweiterte Samba-Rechte
Datei- und Verzeichnismodus alle Felder:
Besitzer und Gruppe alles Ja
Andere “nein”
ab Samba-Optionen
nichts verändert
Optionen
Für Samba-Clients exportieren: ja
Für NFD-Cleints…: nein
das Problem hier ist wahrscheinlich die “Erzwungene Gruppe”. Diese Option bewirkt, dass alle Benutzer, die sich am Share anmelden, die primäre Gruppe “personal” bekommen. Diese Gruppe hat ja nun laut UNIX-Rechten Zugriff auf das Share (ls -ld /shares/personal/ → drwxrwx— 2 root personal … /shares/personal/) und somit auch alle Benutzer.
(a)
Wenn Sie die “Erzwungene Gruppe” entfernen, sollte es wie gewünscht funktionieren. Es sollten dann nur die Mitglieder der Gruppe “personal” Zugriff haben.
(b)
Die Option “Erzwungene Gruppe” (force group in der smb.conf) bietet aber noch eine erweiterte Funktion. Wenn dem Gruppenname hier ein “+” vorangestellt wird (+personal), wird nur bei den Mitgliedern der Gruppe selbst die Gruppe als primäre Gruppe gesetzt. Alle Anderen sind wie in (a) ausgesperrt. Der Unterschied zu (a) ist dann, dass bei Zugriffen auf die Freigabe die Benutzer die primäre Gruppe “personal” haben und alle neuen Verzeichnisse bzw. Dateien Standardrechte für diese Gruppe (personal) bekommen.
Bingo! Habe Variante (b) gwählt und konnte erfolgreich alle User aussperren, die nicht in der entsprechenden erzwungenen Gruppe Mitglied sind. Werde das weiter beobachten. Vielen Dank einstweilen für diesen Hinweis.