Problem mit Samba Berechtigungen

UCS - Univention Corporate Server
#1

Guten Tag zusammen.

Wir haben einen MS AD integrierten UCS 4.1.1, über welchen wir Netzwerkshares zur Verfügung stellen wollen.
Zugriffsberechtigungen einzelner MS AD Benutzer werden für die MS Fileserver per MS AD Gruppenmitgliedschaft geregelt.
Diese wollen wir auch auf dem UCS nutzen.
Für die Grundlegende Bereitstellung funktioniert dies auch und die Zugriffsberechtigungen sind für die Mitglieder der Gruppe korrekt.
Allerdings können wir keine Berechtigungen für weitere MS AD Gruppe(n) dem Share hinzufügen.

IST-Situation

Allgemein -> Name : Firmeninformationen
Allgemein -> Besitzer des Wurzelvz. : root
Allgemein -> Besitzergruppe des Wurzelvz. : marketing-schreiben (MS AD Gruppe)
Allgemein -> Dateiberechtigungen des Wurzelvz. : Lesen / Schreiben / Zugriff für o.g. Benutzer und Gruppe

SOLL-Situation

Zusätzlich sollen alle MS AD Benutzer der Gruppe “marketing-lesen” ausschließlich lesenden Zugriff auf das Share haben.

Im Bereich “Erweiterte Einstellungen” des Shares haben wir bereits erfolglos versucht weitere MS AD Gruppen mit “nur lesen” Berechtigungen in verschiedenen Konstellationen dem Share hinzuzufügen.
Der bzw. die genutzten MS AD Benutzer konnten erfolgreich auf der UCS Konsole mit "id " aufgelöst werden und verfügten über die notwendigen MS AD Gruppenzugehörigkeiten für lesenden Zugriff.
Das Share lässt sich (logischer Weise) auch nicht ein zweites Mal definieren mit einer anderen MS AD Benutzer / Gruppen Zuordnung im Bereich “Allgemein”.

Auch das Handbuch Kapitel 11.2. “Verwaltung von Freigaben in UMC” hat uns bei der Frage wie weitere MS AD Gruppen / Benutzer einem Share hinzugefügt werden können, nicht weiter geholfen.

Wie können wir Shares per UCS Samba bereit stellen, die den Anforderungen der “SOLL-Situation” entsprechen?

Eingesetzte Software:
UCS 4.1.1 # Samba 4.3.3-Debian

#2

Hallo!

Das Verhalten kann mit ACLs konfiguriert werden.

sdb.univention.de/1042

#3

Hallo.

Danke für die schnelle Antwort.
Das Ganze mit ACL’s zu regeln habe ich schon versucht.

Vielleicht habe ich hier einen Fehler gemacht, da ACL’s neu für mich sind, aber wenn ich die Ausgaben nicht falsch interpretiere, dann sollte alles so richtig sein.
Leider funktioniert der Zugriff immer noch nicht.

Hier die Ausgabe von getfacl:

[code]root@xxx:/mnt1# getfacl firmeninformationen/

file: firmeninformationen/

owner: root

group: marketing-schreiben

user::rwx
user:root:rwx
group::rwx
group:marketing-schreiben:rwx
group:marketing-lesen:r–
mask::rwx
other::—
default:user::rwx
default:user:root:rwx
default:group::r-x
default:group:marketing-schreiben:r-x
default:mask::rwx
default:other::r-x
[/code]

Ein “gpresult /r” bei dem Testbenutzer unter Windows zeigt, das er auch Mitglied der MS AD Gruppe “marketing-lesen” ist.

“smbstatus” gibt bei aktivem Verbindungsversuch folgendes aus:

[code]root@xxx:/mnt1# smbstatus

Samba version 4.3.3-Debian
PID Username Group Machine Protocol Version

16537 tuxfords Domänen-Benutzer xx.xx.xx.xx (ipv4:xx.xx.xx.xx:49329) SMB2_10

Service pid machine Connected at

firmeninformationen 16537 xx.xx.xx.xx Fri Feb 26 14:40:15 2016
IPC$ 16537 xx.xx.xx.xx Fri Feb 26 14:41:13 2016

No locked files
[/code]

MfG

#4

Hallo,

ich hab jetzt nicht die konkrete Lösung, aber vielleicht einen Tipp:
Ich setze über die UMC nur die nötigsten Berechtigungen (Besitzer, Gruppe) und mach dann das “Feintuning” (Berechtigungen für verschiedene Gruppen, Vererbung …) mit einem Windows-Client über den Windows-Explorer. Das ist zwar ein Bruch und man braucht zwei Tools um das zu administrieren, aber ich finde das weniger anstrengend als setfacl auf der UCS-Kommandozeile und bislang klappt das alles wunderbar.

#5

Es kann sein, dass die ACLs nur für das Verzeichnis “firmeninformationen/’” gesetzt sind und alles darunter nicht lesbar ist.

Das setzen der ACLs kann mit der option “-R” rekursiv auf alle Unterverzeichnisse und -Dateien ausgeweitet werden.

Die ACLs für im Verzeichnis erstellte Dateien können mit der “default” ACL gesetzt werden.

#6

Hallo,

vielen Dank für die Antworten.

Ich habe die erweiterten / zusätzlichen Freigabeoptionen zuerst - wie von CoffeePad beschrieben - über den Windows Explorer gesetzt.
Dann habe ich mir mit “getfacl” angeschaut, was sich an den effektiven Berechtigungen auf Linux Seite im Vergleich zu meinem direkten Versuch mit “setfacl” geändert hat.

Daraus hat sich gezeigt, das die erweiterte Gruppe zusätzlich zu dem gesetzten Leserecht ® auch noch das Recht zum Ausführen (x) benötigt.

[code]root@xxx:/mnt1# getfacl firmeninformationen/

file: firmeninformationen/

owner: root

group: marketing-schreiben

user::rwx
user:root:rwx
group::rwx
group:marketing-schreiben:rwx
group:marketing-lesen:r-x <========
mask::rwx
other::—
default:user::rwx
default:user:root:rwx
default:group::r-x
default:group:marketing-schreiben:r-x
default:mask::rwx
default:other::r-x[/code]

Verzeichnisse und Dateien, welche innerhalb des Verzeichnisses erstellt wurden (über den MS Explorer) haben die korrekten Rechte zugewiesen bekommen.
Trotzdem Danke für den Hinweis @gier_do

Ich denke dieser Thread kann somit als erledigt gekennzeichnet werden.

MfG

Mastodon