Freigabe für alle Benutzer offen

Wir haben ein Zugriffsproblem mal anderesherum.

  1. es gibt pro “share” eine eigene Gruppe.
  2. die “erzwungene Gruppe” wird genutzt, um nur den Benutzer, die in der Gruppe sind, Lese- Schreib- und Ausf.- Zugriff zu gewähren.
  3. FEHLER: Auch Benutzer, die nicht in der Gruppe sind, haben vollen Zugriff auf das Share // Das hat alles mal funktioniert … Ich habe jetzt durch Zufall mitbekommen, dass unsere Shares alle weit offen sind …
  4. So haben wir die Freigabe eingerichtet am Beispiel “personal” (Univention 3-21)

Reiter Allgemein
Pfad /shares/personal

Besitzer des Wurzelverz.
root

Benutzergruppe
personal

Dateiberechtigung für das Wurzelverzeichnis der Freigabe
Besitzer und Gruppe alles Ja
Andere “nein”
Setgid / Sticky bit “nein”

Reiter Samba
Samba-Name
personal
Samba-Schreibzugriff: ja
Freigabe wird in der widnows … : ja
Benutzer mit Schreibrechten dürfen … : ja
Alles andere: nein

Erweiterte Eintsellungen
Samba Rechte
alles leer ausser
Erzwungene Gruppe
personal
NT ACL Support: ja
Ererbte ACLs: ja

Erweiterte Samba-Rechte
Datei- und Verzeichnismodus alle Felder:
Besitzer und Gruppe alles Ja
Andere “nein”

ab Samba-Optionen
nichts verändert

Optionen
Für Samba-Clients exportieren: ja
Für NFD-Cleints…: nein

Was läuft da falsch?

Hallo,

das Problem hier ist wahrscheinlich die “Erzwungene Gruppe”. Diese Option bewirkt, dass alle Benutzer, die sich am Share anmelden, die primäre Gruppe “personal” bekommen. Diese Gruppe hat ja nun laut UNIX-Rechten Zugriff auf das Share (ls -ld /shares/personal/ -> drwxrwx— 2 root personal … /shares/personal/) und somit auch alle Benutzer.

(a)
Wenn Sie die “Erzwungene Gruppe” entfernen, sollte es wie gewünscht funktionieren. Es sollten dann nur die Mitglieder der Gruppe “personal” Zugriff haben.

(b)
Die Option “Erzwungene Gruppe” (force group in der smb.conf) bietet aber noch eine erweiterte Funktion. Wenn dem Gruppenname hier ein “+” vorangestellt wird (+personal), wird nur bei den Mitgliedern der Gruppe selbst die Gruppe als primäre Gruppe gesetzt. Alle Anderen sind wie in (a) ausgesperrt. Der Unterschied zu (a) ist dann, dass bei Zugriffen auf die Freigabe die Benutzer die primäre Gruppe “personal” haben und alle neuen Verzeichnisse bzw. Dateien Standardrechte für diese Gruppe (personal) bekommen.

Mit freundlichen Grüßen
Felix Botner

Bingo! Habe Variante (b) gwählt und konnte erfolgreich alle User aussperren, die nicht in der entsprechenden erzwungenen Gruppe Mitglied sind. Werde das weiter beobachten. Vielen Dank einstweilen für diesen Hinweis.

MFG Volker Hahn VERSDIREKT

Mastodon