Ich weiß nicht mehr weiter !
Ich versuche Rechte auf Freigaben wie in folgendem Beispiel anzuwenden:
Benutzer: buchhalter , azubi , chef, mitarbeiter , buchhalter, azubi und chef gehören zur gruppe verwaltung
Freigaben:
buchhaltung : buchhalter und chef dürfen lesen und schreiben, azubi darf lesen, mitarbeiter darf nicht auf die Freigabe zugreifen
verteiler: gruppe verwaltung darf lesen und schreiben , mitarbeiter darf nicht auf die Freigabe zugreifen
info: gruppe verwaltung darf lesen und schreiben, alle anderen lesen
Normalerweise arbeitet man dabei ja mit acls. (Diesbezüglich habe auch schon eine Frage ins Forum gestellt, bekam aber bisher noch keine Antwort.)
In der Management Konsole gibt es den den Reiter “SAMBA Rechte” in “erweiterte Einstellungen” mit den Unterpunkten “gültige Benutzer oder Gruppen” und “Schreibberechtigung auf diese Benutzer/Gruppen beschränken”. [Laut UCS Handbuch muß ein User/Gruppe eingetragen sein um den Zugang zu beschränken.]
Im Unterpunkt “gültige Benutzer oder Gruppen” habe ich die leseberechtigten eingetragen, scheint auch zu klappen. Das setzen der Schreibberechtigungen klapp allerdings gar nicht. Jeder kann schreiben!
Sind das eigenlich acls? Wenn ja, warum sind die acls in den verzeichnissen nicht gesetzt.
Schließlich habe ich es mit setacl versucht: Gebe ich dem user die rechte “rwx”, dann kann ich schreiben, vergebe ich nur “r”, dann komme ich nicht mehr in die Freigabe rein.
Was läuft hier falsch?
Hallo,
die im UDM vorhandenen Lese- und Schreibberechtigungen werden nicht auf die Freigabe gesetzt, sondern in die Samba- Konfiguration geschrieben (Parameter: read list, write list).
Wenn du mit ACLs arbeiten möchtest, musst du diese über die Konsole setzen mit dem Befehl “setfacl”.
setfacl -m group:GROUPNAME:rxw folder
bzw. für Default- Berechtigungen:
setfacl -m default:group:GROUPNAME:rxw folder
Weitere Informationen via “man setfacl” bzw. “man getfacl” aufrufen.
Die Berechtigungen im UDM kannst du in diesem Falle leer lassen.
Viel Glück!
Danke für die Antwort,
das mit den acls scheint zu klappen.
Trotzdem, kann ich dann die oben aufgeführte Benutzerrechte Situation nicht auch nur über Samba realisieren ? ( die Klienten sind übrigens Win7 Clients in ein AD-Domäne).
Ist das sinnvoll oder doch lieber ACL?
Im UCS kann ich valid_users und write_list eintragen, read_list taucht nicht auf. Hier mal meine smb.conf:
[buchhaltung]
path = /shares/verwaltung/buchhaltung
vfs objects = acl_xattr
msdfs root = no
writeable = yes
browseable = yes
public = no
dos filemode = no
hide unreadable = no
create mode = 0744
directory mode = 0755
force create mode = 00
force directory mode = 00
security mask = 0777
directory security mask = 0777
force security mode = 00
force directory security mode = 00
locking = 1
blocking locks = 1
strict locking = Auto
oplocks = 1
level2 oplocks = 1
fake oplocks = 0
csc policy = manual
valid users = buchhalter,chef,azubi
nt acl support = 1
inherit acls = 1
write list = buchhalter,chef
inherit owner = no
inherit permissions = no
drwxr-xr-x 2 root verwaltung 4096 13. Jun 10:02 buchhaltung
Buchhalter,Chef und Azubi können auf das Verzeichnis zugreifen, Mitarbeiter kann das nicht. Aber warum kann Azubi in das Verzeichnis schreiben, obwohl Chef und Buchhalter un der write_list eingetragen sind ?
Wem muß das Verzeichnis gehören? Domain_Users oder vieleicht Users?
Für welchen Weg du dich entscheidest, bleibt schlussendlich dir überlassen. Die Verwendung von ACLs erlaubt mehr Komplexität in der Verzeichnisstruktur.
read list kannst du auf der Freigabe unter “Erweiterte Einstellungen” -> “Erweiterte Samba Einstellungen” setzen.
In das linke Eingabefeld “read list” eintragen, im rechten Feld die Benutzer bzw. die Gruppen mit einem “@” vorgestellt eintragen. Mehrere Einträge mit einer Leertaste trennen.
Hallo,
ich habe eine mögliche Umsetzung in Ihrem anderen Thread erweiterte Einstellungen / Samba Rechte <=> acl’s ?? beschrieben.
Mit freundlichen Grüßen
Janis Meybohm