Probleme mit Freigaben und ACL

german

#1

Ich weiß nicht mehr weiter !

Ich versuche Rechte auf Freigaben wie in folgendem Beispiel anzuwenden:

Benutzer: buchhalter , azubi , chef, mitarbeiter , buchhalter, azubi und chef gehören zur gruppe verwaltung

Freigaben:
buchhaltung : buchhalter und chef dürfen lesen und schreiben, azubi darf lesen, mitarbeiter darf nicht auf die Freigabe zugreifen

verteiler: gruppe verwaltung darf lesen und schreiben , mitarbeiter darf nicht auf die Freigabe zugreifen

info: gruppe verwaltung darf lesen und schreiben, alle anderen lesen

Normalerweise arbeitet man dabei ja mit acls. (Diesbezüglich habe auch schon eine Frage ins Forum gestellt, bekam aber bisher noch keine Antwort.)

In der Management Konsole gibt es den den Reiter “SAMBA Rechte” in “erweiterte Einstellungen” mit den Unterpunkten “gültige Benutzer oder Gruppen” und “Schreibberechtigung auf diese Benutzer/Gruppen beschränken”. [Laut UCS Handbuch muß ein User/Gruppe eingetragen sein um den Zugang zu beschränken.]
Im Unterpunkt “gültige Benutzer oder Gruppen” habe ich die leseberechtigten eingetragen, scheint auch zu klappen. Das setzen der Schreibberechtigungen klapp allerdings gar nicht. Jeder kann schreiben!
Sind das eigenlich acls? Wenn ja, warum sind die acls in den verzeichnissen nicht gesetzt.
Schließlich habe ich es mit setacl versucht: Gebe ich dem user die rechte “rwx”, dann kann ich schreiben, vergebe ich nur “r”, dann komme ich nicht mehr in die Freigabe rein.

Was läuft hier falsch?


#2

Hallo,

die im UDM vorhandenen Lese- und Schreibberechtigungen werden nicht auf die Freigabe gesetzt, sondern in die Samba- Konfiguration geschrieben (Parameter: read list, write list).

Wenn du mit ACLs arbeiten möchtest, musst du diese über die Konsole setzen mit dem Befehl “setfacl”.

setfacl -m group:GROUPNAME:rxw folder

bzw. für Default- Berechtigungen:

setfacl -m default:group:GROUPNAME:rxw folder

Weitere Informationen via “man setfacl” bzw. “man getfacl” aufrufen.

Die Berechtigungen im UDM kannst du in diesem Falle leer lassen.

Viel Glück!


#3

Danke für die Antwort,

das mit den acls scheint zu klappen.

Trotzdem, kann ich dann die oben aufgeführte Benutzerrechte Situation nicht auch nur über Samba realisieren ? ( die Klienten sind übrigens Win7 Clients in ein AD-Domäne).
Ist das sinnvoll oder doch lieber ACL?

Im UCS kann ich valid_users und write_list eintragen, read_list taucht nicht auf. Hier mal meine smb.conf:

[buchhaltung] path = /shares/verwaltung/buchhaltung vfs objects = acl_xattr msdfs root = no writeable = yes browseable = yes public = no dos filemode = no hide unreadable = no create mode = 0744 directory mode = 0755 force create mode = 00 force directory mode = 00 security mask = 0777 directory security mask = 0777 force security mode = 00 force directory security mode = 00 locking = 1 blocking locks = 1 strict locking = Auto oplocks = 1 level2 oplocks = 1 fake oplocks = 0 csc policy = manual valid users = buchhalter,chef,azubi nt acl support = 1 inherit acls = 1 write list = buchhalter,chef inherit owner = no inherit permissions = no

drwxr-xr-x 2 root verwaltung   4096 13. Jun 10:02 buchhaltung

Buchhalter,Chef und Azubi können auf das Verzeichnis zugreifen, Mitarbeiter kann das nicht. Aber warum kann Azubi in das Verzeichnis schreiben, obwohl Chef und Buchhalter un der write_list eingetragen sind ?

Wem muß das Verzeichnis gehören? Domain_Users oder vieleicht Users?


#4

Für welchen Weg du dich entscheidest, bleibt schlussendlich dir überlassen. Die Verwendung von ACLs erlaubt mehr Komplexität in der Verzeichnisstruktur.

read list kannst du auf der Freigabe unter “Erweiterte Einstellungen” -> “Erweiterte Samba Einstellungen” setzen.
In das linke Eingabefeld “read list” eintragen, im rechten Feld die Benutzer bzw. die Gruppen mit einem “@” vorgestellt eintragen. Mehrere Einträge mit einer Leertaste trennen.


#5

Hallo,

ich habe eine mögliche Umsetzung in Ihrem anderen Thread erweiterte Einstellungen / Samba Rechte <=> acl’s ?? beschrieben.

Mit freundlichen Grüßen
Janis Meybohm