Freigabe für eine Gruppe in einer WindowsDomäne klappt nicht

german

#1

Hallo zusammen,

erst mal ein erstes Hallo ins Forum! Ich betreue nebenberuflich kleinere Kirchengemeinden bei ihrer IT und habe bisher nur mit Microsoft-Servern gearbeitet. Linux ist für mich absolutes Neuland, daher sorry für eventuelle “dämliche” Fragen.

Da Microsoft kirchliche Einrichtungen aus der Bezugsberechtigung für günstige Academic-Lizenzen herausgenommen hat und viele Kirchengemeinden sich einen Windows-Server zum Normalpreis nicht leisten können, habe ich mir gestern UCS auf einem Testrechner isntalliert und damit eine Windows- bzw. Samba4-Domäne eröffnet. Der Domänenbeitritt eines Windows7-Rechners klappte auch problemlos. Schwierigkeiten habe ich aber bei der Freigabe von Ordnern.

Gegeben ist ein Domänenbenutzer h.wurst. Dieser ist Mitglied der Gruppe Gemeinde:


Gegeben ist weiterhin eine Freigabe namens Testdata. Als Besitzergruppe für das Wurzelverzeichnis der Freigabe ist Gemeinde angegeben, und die Besitzergruppe hat die Berechtigung rwx:


Für dei Freigabe ist die Gruppe Gemeinde sowohl generell als “gültige Gruppe” als auch als “Schreibberechtigt” eingetragen:


Wenn sich h.wurst nun an einem Windows-Client, der Mitglied der UCS-Domäne ist, anmeldet, kann er nicht auf die Freigabe TestData zugreifen.

Trage ich bei den Freigaberechten statt der Gruppe Gemeinde direkt den User h.wurst ein, klappt der Zugriff.

Warum funktioniert die Gruppe nicht?

Danke im Voraus,
Sarek \//_


#2

Hallo,

Können sie bitte zunächst um die Basisfunktionalität zu testen, einen Share auf folgende Art und Weise anlegen:

# Benutzen Sie bitte den Administrator (den builtin)

  1. Legen Sie einen neuen Share an “testucs”
  2. Tragen Sie den share-path ein (dieser muss nicht vorher existieren, er wird automatisch angelegt): “/var/shares/testucs”
    –> Benutzer: Administrator // Gruppe: Domänenadmins
    –> Lassen Sie bitte alle Haken wie diese sind
  3. Wechseln Sie nun zu “Samba” und prüfen Sie ob die beiden Haken gesetzt sind, ändern Sie aber nichts
  4. Ignorieren Sie alle weiteren Punkte
  5. Booten Sie ein Windowssystem welches in die Domäne gejoint ist (wichtig) und melden Sie sich an mit DOMÄNE\Administrator
  6. Wechseln Sie über die Netzwerkverbindungen zu der Freigabe und setzen Sie die Berechtigungen/ACLs wie erforderlich

Falls das funktioniert geben Sie bitte kurz Bescheid. Falls das nicht funktioniert senden sie uns bitte eine Ausgabe von testparm:

root@ucs-1380:~# testparm -sv

Können Sie dann zusätzlich bitte beschreiben was genau passiert (oder nicht passiert) wenn Sie versuchen die Einstellungen zu machen?

Mit freundlichem Gruß,
Jens Thorp-Hansen


#3

Bei mir heißt die Gruppe “Domain Admins” - obwohl ich UCS auf Deutsch installiert habe

Dort sind “Samba-Schreibzugriff” und “Freigabe wird in der Windows-Netzwerkumgebung angezeigt” aktiv.

Das funktioniert! Aber ich kann auf diesem Wege natürlich nur für die Unterordner der Freigabe ACLs anlegen. Wie kann ich die Berechtigungen auf das Wurzelverzeichnis der Freigabe selbst einschränken, so dass z.B. nur Mitglieder der Gruppen “Administrators”, “Gemeinde” und “Pastoren” dort lesen können?


#4

[quote=“Botschafter Sarek”]
Das funktioniert! Aber ich kann auf diesem Wege natürlich nur für die Unterordner der Freigabe ACLs anlegen. Wie kann ich die Berechtigungen auf das Wurzelverzeichnis der Freigabe selbst einschränken, so dass z.B. nur Mitglieder der Gruppen “Administrators”, “Gemeinde” und “Pastoren” dort lesen können?[/quote]

Ich würde jetzt als Erstes sagen: ACLs auf UCS Kommandozeilenebene des share folders bearbeiten, jedoch weiß ich, dass Sie lieber eine GUI Lösung wünschen. Daher müssen wir “tricksen” (es lohnt sich jedoch in jedem Fall, sich mit der Konsole etwas mehr auseinanderzusetzen :slight_smile: ).

Legen Sie eine neue Gruppe an namens “share-admins” (Beispielname) - in diese Gruppe fügen Sie als Mitglieder bitte die Gruppen hinzu die schreiben dürfen (Administratoren, Pastoren, etc.). Setzen Sie dann die Haken wie in Ihrem 2ten Screenshot (unter der Angabe des Besitzers “Administrator”, etc.) - Sie finden dort die Haken Besitzer, Gruppe, Andere --> Besitzer und Gruppe bekommen alle Haken, Andere nur “Lesen”. Im Reiter “erweiterte Einstellungen” setzen Sie bitte die Gruppe “Schreibberechtigungen auf diese Gruppe beschränken” auf ihre “share-admins”.

Sie sollten nun mit den share-admins “Schreiben” dürfen und mit allen anderen “Lesen” - können Sie das bitte prüfen?

Mit freundlichem Gruß,
Jens Thorp-Hansen


#5

Hallo Sarek,

hattest du dir den entsprechenden Teil im Handbuch dazu mal angeschaut? Schau dir mal die Erklärung bei “Gültige Benutzer oder Gruppen” in dieser Tabelle an: docs.software-univention.de/hand … nagement_8

Viele Grüße


#6

[quote=“Thorp-Hansen”][quote=“Botschafter Sarek”]
Legen Sie eine neue Gruppe an namens “share-admins” (Beispielname) - in diese Gruppe fügen Sie als Mitglieder bitte die Gruppen hinzu die schreiben dürfen (Administratoren, Pastoren, etc.). Setzen Sie dann die Haken wie in Ihrem 2ten Screenshot (unter der Angabe des Besitzers “Administrator”, etc.) - Sie finden dort die Haken Besitzer, Gruppe, Andere --> Besitzer und Gruppe bekommen alle Haken, Andere nur “Lesen”. Im Reiter “erweiterte Einstellungen” setzen Sie bitte die Gruppe “Schreibberechtigungen auf diese Gruppe beschränken” auf ihre “share-admins”.

Das klappt leider nur dann, wenn ich
[ol]
[li]die Gruppe “Gemeinde” (oder halt share-admins dann auch zur Besitzergruppe für das Wurzelverzeichnis mache und[/li]
[li]bei den Samba-Rechten das Feld “Gültige Benutzer oder Gruppen” leer lasse. [/li][/ol]

Ganz grundsätzlich scheint es mir so zu sein, dass der Eintrag bei “Gültige Benutzer und Gruppen” ignoriert wird. Und das ist nicht gut, weil ich dann keine gestuften Berechtigungen auf eine Freigabe hinbekomme:
[ul]
[li]Gruppe “Sekretariat” soll lesen und schreiben können[/li]
[li]Gruppe “Pastoren” soll lesen können[/li]
[li]alle anderen sollen nichts können[/li][/ul]

Ich würde da normalerweise so herangehen:
[ul]
[li]Besitzergruppe des Wurzelverzeichnisses wird “Sekretariat”[/li]
[li]Besitzer (“Administrator”) und Besitzergruppe dürfen rwx, Andere dürfen nur rx[/li]
[li]Um nicht allen “Anderen” Lesezugriff zu gewähren, sondern wirklich nur dem Sekretariat und den Pastoren werden bei “Gültige Benutzer und Gruppen” die Gruppen “Domain Admins”, “Pastoren” und “Sekretariat” eingetragen[/li][/ul]

Aber sobald ich etwas bei “Gültige Benutzer und Gruppen” eintrage, kann gar keiner mehr zugreifen.


#7

Das war’s!!! Mit “@Gemeinde” statt nur “Gemeinde” funktioniert es einwandfrei. Warum um Himmels willen “denkt” sich der UCS da nicht automatisch ein @, wenn weder ein @, ein + oder ein & da stehen?

Schade nur, dass ich die Gruppen bei “Gültige Benutzer und Gruppen” und bei “Schreibberechtigung auf diese Benutzer/Gruppen beschränken” eintippen muss und nicht aus der Liste der vorhandenen Gruppen auswählen kann. Das erhöht natürlich die Fehleranfälligkeit (durch Tippfehler, oder wenn ich den Namen der Gruppe nicht richtig im Kopf habe) …

Edit: Wenn ich auf das Wurzelverzeichnis allen Schreib-Lese-Zugriff gebe, kann auch jemand, der bei den Samba-Rechten nur bei “Gültige Benutzer und Gruppen”, nicht aber bei “Schreibberechtigung auf diese Benutzer/Gruppen beschränken” eingetragen ist, in die Freigabe schreiben. Ist das normal?? Ist es nicht wie bei Windows, dass nur der kleinste gemeinsame Nenner von Dateisystemrechten und Freigaberechten die tatsächlichen Rechte bildet? In dem Fall müssten doch Benutzer, die nicht bei “Schreibberechtigung auf diese Benutzer/Gruppen beschränken” eingetragen sind, nicht in die Freigabe schreiben dürfen …


#8

Hallo zusammen,

es wäre schön, wenn ich auf diese Frage aus meinem letzten Beitrag:

noch eine Antwort bekommen würde.

Danke,
Sarek \//_


#9

Moin,

Dieses Feld wird zum Parameter »write list« in der Konfiguration. Um mal die smb.conf-Man-Page zu zitieren:

[quote]write list (S)

This is a list of users that are given read-write access to a service. If the connecting user is in this list then they will be given write access, no matter what the read only option is set to. The list can include
group names using the @group syntax.

Note that if a user is in both the read list and the write list then they will be given write access.[/quote]

Wenn ich das richtig verstehe, so ist dieser Parameter eher dazu da, um mehr Rechte zu gewähren, und nicht um Schreibrechte einzuschränken. Daher würde ich sagen, ja, das Verhalten ist normal.

Wie immer bei solchen Fragen zur Funktionsweise der Parameter rate ich dringend dazu, zuerst die Man-Page zu »smb.conf« zu lesen, um das Verhalten des fraglichen Parameters beschrieben zu bekommen. Um herauszufinden, welches Feld in der UMC zu welchem Konfigurationsparameter wird, trägt man einfach etwas ein und schaut sich anschließend die Konfigurationsdatei (»/etc/samba/shares.conf.d/«) auf demjenigen Fileserver an, auf dem die Share angelegt wurde.

Gruß,
mosu


#10

Hallo Moritz,

[quote=“Moritz Bunkus”]Dieses Feld wird zum Parameter »write list« in der Konfiguration. […]
Wie immer bei solchen Fragen zur Funktionsweise der Parameter rate ich dringend dazu, zuerst die Man-Page zu »smb.conf« zu lesen, um das Verhalten des fraglichen Parameters beschrieben zu bekommen. Um herauszufinden, welches Feld in der UMC zu welchem Konfigurationsparameter wird, trägt man einfach etwas ein und schaut sich anschließend die Konfigurationsdatei (»/etc/samba/shares.conf.d/«) auf demjenigen Fileserver an, auf dem die Share angelegt wurde.[/quote]
Ich hatte ja oben bereits geschrieben, dass ich von Linux Null Ahnung habe. Selbst wenn ich mir die “Man-Page” (was auch immer das ist) zur der smb.conf durchlesen würde, würde ich sie wahrscheinlich mangels Linux-Hintergrundwissen nicht verstehen - zumal sie vermutlich in Fachenglisch geschrieben ist. Der UCS wird (z.B. von der c’t) gerne als Ersatz für einen Windows-Server angepriesen, darum habe ich das Experiment mal gewagt. Aber wenn man den UCS nicht bedienen kann, ohne Linux “unter der Haube” zu verstehen, dann ist es wahrscheinlich das falsche Produkt für mich.

Dann wäre meine Frage nach wie vor, wie ich das folgende Szenario, welches unter Windows problemlos umsetzbar ist, auch auf einem UCS realisieren kann:

Auf eine Freigabe “Finanzen” soll :
[ol]
[li]die Gruppe “Sekretariat” soll Lese- und Schreibzugriff haben[/li]
[li]die Gruppe “Pastoren” soll Lesezugriff haben[/li]
[li]alle anderen sollen nichts können[/li][/ol]
Wie gesagt, es geht um die Freigabe selbst, nicht um irgendwelche Unterordner dieser Freigabe, deren Dateisystemberechtigungen ich ja mit ACLs festlegen könnte …


#11

Moin,

Man kann UCS begrenzt weit benutzen, ohne Linux-Know-How zu haben. Aber alleine schon bei den Dateiberechtigungen ist Wissen über die Funktionsweise von Linux-ACLs wirklich nötig, weil sich diese schlicht deutlich anders verhalten als unter Windows. Dazu gibt es jede Menge guten Artikel im Internet. Ein guter Einstiegspunkt, um rein mit Linux-ACLs eine Verzeichnishierarchie zu erzeugen, in der eine Gruppe immer auf alles zugreifen darf, ist z.B. diese hier. Aber auch die setzt erst mal grundlegendes Wissen über Linux-ACLs voraus; eine gute Einführung dazu ist z.B. diese hier.

Man-Pages sind die mitgelieferten Dokumentationsseiten zu Programmen und Konfigurationsdateien. Man schaut sich eine Man-Page zu Thema XYZ an, indem man den Befehl “man XYZ” eingibt, in unserem Beispiel also “man smb.conf”. Zum Anzeigen wird das Programm “less” benutzt, aus dem Sie mit “q” wieder herauskommen. Die Bedienung von “less” ist in der Man-Page erläutert, siehe also “man less”.

[quote]Auf eine Freigabe “Finanzen” soll :
[ol]
[li]die Gruppe “Sekretariat” soll Lese- und Schreibzugriff haben[/li]
[li]die Gruppe “Pastoren” soll Lesezugriff haben[/li]
[li]alle anderen sollen nichts können[/li][/ol][/quote]

Samba-seitig benutzt man hier de facto nur die Option “valid users” (in UCS: “valid users and groups”), in der man beide Gruppen einträgt, also “@Sekretariat @Pastoren”. Damit haben nur Mitglieder einer dieser beiden Gruppen Zugriff, der Rest nicht. Das erledigt Punkt 3 von Ihrer Liste.

Den Rest (Punkte 1 und 2) erledigt man schlicht per ACLs.

Die “permissions for the share’s root directory” sollten dann sinnvollerweise Owner & Group volle Rechte und Others gar keine Rechte geben. Auch auf dem Basisverzeichnis der Freigabe müssen dann die ACLs entsprechend gesetzt werden.

Gruß,
mosu


#12

Und da ich von einem Windows-Client aus keinen Zugriff auf die Dateisystemberechtigungen des Basisverzeichnisses einer Freigabe habe, geht das vermutlich nur innerhalb des UCS. Und da dort eine GUI für solche Zwecke fehlt, offenbar nur per Kommandozeile … richtig?

Aber selbst dann: Die Linux-Dateisystemberechtigungen sind stark eingeschränkt, weil ich nur eine Gruppe habe, der ich besondere, von den für alle geltenden Berechtigungen hinaus, Berechtigungen vergeben kann. Aber in meinem Modell brauche ich zwei Gruppen mit Rechten sich von den Rechten für “alle” unterscheiden, nämlich eine Gruppe, die nur lesen kann und eine, die lesen und schreiben kann …


#13

Machen wir das mal in einzelnen Teilen:

  1. Sekretariat soll Vollzugriff haben. Das ist ja bereits gelöst (docs.software-univention.de/hand … nagement_8 - Gültige Benutzer oder Gruppen bzw. @Sekretariat)
  2. Pastoren soll lesen, aber nicht schreiben dürfen. Hier sind wir beim gleichen Punkt wie bei 1., also kommt ein @Pastoren hinzu
  3. Sekretariat und Pastoren dürfen jetzt auf die Freigabe zugreifen, jetzt muss noch die Schreibberechtigung geregelt werden (siehe gleiche Tabelle docs.software-univention.de/hand … nagement_8 - Punkt Schreibberechtigung auf diese Benutzer/Gruppen beschränken). Ich bin mir hier mit der Syntax nicht sicher, probier es doch erst mal mit Sekretariat und ansonsten wieder mit @Sekretariat

Ggf. einfach bei weiteren Fragen einen Blick ins Handbuch riskieren :wink:


#14

Huhu,

Das ist nicht korrekt.

Auch das ist nicht korrekt. Mit ACLs können Sie Berechtigungen für beliebig viele Gruppen vergeben, nicht nur für die Besitzergruppe des Verzeichnisses.

Gruß,
mosu


#15

Oh, daran, es an dieser Stelle zu regeln, hätte ich gar nicht gedacht … aber klar, so geht es.

Spannend ist, dass ich dort nicht nur die ACLs, sondern auch die Freigaberechte ändern kann - und dann drei verschiedenen Gruppen auch drei verschiedene Rechte erteilen kann, was ich direkt unter Samba ja nicht kann.

Ja, ich bin inzwischen dazu gekommen, die von Dir verlinkte Dokumentation zu lesen. Darin wird dann klar, dass die “klassischen Unixrechte” mit der Dreiteilung nicht identisch mit Linux-ACLs sind. Ich hatte das bisher gleichgesetzt.

Eine Frage noch mal zu dem Samba-Freigaberechten: Wie trage ich bei “Gültige Benutzer oder Gruppen” eine Gruppe wie “Domain Users” ein? Ein Leerzeichen trennt ja normalerweise zwei dort eingegebene Benutzer bzw. Gruppen, der Gruppenname “Domain Users” enthält aber ein Leerzeichen …


#16

[quote=“vector”]
3. Sekretariat und Pastoren dürfen jetzt auf die Freigabe zugreifen, jetzt muss noch die Schreibberechtigung geregelt werden (siehe gleiche Tabelle docs.software-univention.de/hand … nagement_8 - Punkt Schreibberechtigung auf diese Benutzer/Gruppen beschränken). Ich bin mir hier mit der Syntax nicht sicher, probier es doch erst mal mit Sekretariat und ansonsten wieder mit @Sekretariat[/quote]

Das funktioniert ja gerade nicht (siehe meinen Beitrag vom 21. Mai 2016, 10:30 Uhr). Es ist so ziemlich egal, was ich dort eintrage, es schränkt die Schreibberechtigung nicht ein. Der Weg über die Windows-ACL klappt aber …


#17

Die Syntax lautet: @“Domain Users”


#18

[quote=“Botschafter Sarek”]
Das funktioniert ja gerade nicht (siehe meinen Beitrag vom 21. Mai 2016, 10:30 Uhr). Es ist so ziemlich egal, was ich dort eintrage, es schränkt die Schreibberechtigung nicht ein. Der Weg über die Windows-ACL klappt aber …[/quote]

Wie es scheint, handelt es sich hier um [bug]35114[/bug]. Eine Erläuterung, was diese Funktion bewirkt, steht in diesem Forenartikel: [url]Erweiterte Einstellungen / Samba Rechte <=> acl's?] oder auch am Bug Report. Die Option erweitert und schränkt nicht ein…