Www-data in eine Unix-Grupp eintragen

versdirekt · November 24, 2014, 1:22pm

Hallo zusammen,

wir möchte den User “www-data” in eine, von uns angelegte Gruppe eintragen. Hintergrund: Wir haben ein PHP-Skript gebaut, welches per FTP aus einem bestimmten Samba-Share immer wieder die gleichen Dateien auf einen Webserver hochschieben soll.

Der User “www-data” taucht allerdings nicht in der UMC auf. Es ist nicht möglich, die Guppe per UMC anzuwählen um dort dann diesen User einzutragen.

Wer kann weiterhelfen?

Gruß Volker Hahn
VERSDIREKT GmbH

Die momentan installierte Version ist 3.2-3 errata241
Samba 4

SirTux · November 24, 2014, 4:24pm

Da www-data ein lokaler User ist, taucht er in der UMC natürlich nicht auf. Da der Benutzer auch über Samba verfügbar sein soll, würde es sich wohl anbieten einen anderen über LDAP verwalteten Account zu nehmen und diesen sofertn nötig in die lokale Gruppe www-data mit aufzunehmen. Dies ginge mit

usermod -a -G www-data USERNAME

versdirekt · December 1, 2014, 9:25am

Danke für die Rückmeldung … Leider hatte ich mit der empfohlen Maßnahme keinen Erfolg. Ich formuliere die Frage nochmal anders: Wie muss ich das Samba einstellen, dass Andere (auch der lokale User “www-data”) auf den Samba - Shares lesen dürfen. Eigentlich sollte es über die UMC ja einfach und selbterklärend sein. Leider werde ich jedoch geblockt, bevor ich überhaupt auf das Wurzelverzeichnes “schares” gelange (mit dem user www-data).

Hir die Eintselltungen lt. UMC:

Reiter Allgemein

Besitzer des Wurzelverz.

Benutzergruppe

Dateiberechtigung für das Wurzelverzeichnis der Freigabe

[quote]Besitzer und Gruppe alles Ja
Andere “lesen”
Setgid / Sticky bit “nein”[/quote]

Reiter Samba
Samba-Name

[quote]entwicklung
Samba-Schreibzugriff: ja
Freigabe wird in der widnows … : ja
Benutzer mit Schreibrechten dürfen … : ja
Alles andere: nein[/quote]

Erweiterte Eintsellungen

[quote]Samba Rechte
alles leer ausser
Erzwungene Gruppe
+entwicklung
NT ACL Support: ja
Ererbte ACLs: ja[/quote]

Erweiterte Samba-Rechte
Datei- und Verzeichnismodus alle Felder:

[quote]Besitzer und Gruppe alles Ja
Andere “lesen”[/quote]

ab Samba-Optionen

Optionen

[quote]Für Samba-Clients exportieren: ja
Für NFS-Cleints…: Ja[/quote]

Richtlinien

Wir laufen unter:
Univention 3.2-3 errata241

versdirekt · December 1, 2014, 11:52am

Folgende Frage hat sich zu dem Thema noch ergeben:
Liegt es vielleicht an den ACLs die falsch eingestellt sind?

[code]root@ucsmaster:/# getfacl shares/entwicklung/

file: shares/entwicklung/

owner: root

group: entwicklung

user::rwx
user:root:rwx
group::rwx
group:entwicklung:rwx
mask::rwx
other::r–
default:user::rwx
default:user:root:rwx
default:group::rwx
default:group:entwicklung:rwx
default:mask::rwx
default:other::—[/code]

Mir ist aufgefallen, dass default:other keine Berechtigungen vorsieht. Möchte ich diese über einen Windows Client anpassen kommt jedoch ein Warnhinweis der mich sinngemäß davor warnt die Berechtigungen des Wurzelverzeichnisses zu verändern, da dies die ererbten Rechte aller Unterordner überschreiben würde.

Der Unterordner ist jedoch bereits richtig konfiguriert:

[code]getfacl: Entferne führende ‘/’ von absoluten Pfadnamen

file: shares/entwicklung/1OpenSach

owner: www-data

group: entwicklung

user::rwx
user:www-data:rwx
user:hahn:rwx
group::rwx
group:entwicklung:rwx
mask::rwx
other::rwx
default:user::rwx
default:user:www-data:rwx
default:user:hahn:rwx
default:group::rwx
default:group:entwicklung:rwx
default:mask::rwx
default:other::r–
[/code]

Ich danke schon jetzt herzlich für jeden Hinweis.

SirTux · December 1, 2014, 2:42pm

Lokale User sind dem Samba nicht bekannt, können sich daher diesem gegenüber nicht authenfizieren. Dies wäre mit Hilfe eines Dummy-LDAP-Users möglich, mit dem sich www-data gegenüber Samba authefizieren könnte.

Allerdings ist mir unklar wie der Zugriff auf das Share erfolgen soll. Ist es shon im Dateisystem eingebunden?

versdirekt · December 1, 2014, 4:52pm

Auf der Oberfläche habe ich jetzt den User angelegt. Hier musste ich allerdings ein Passwort vergeben, welches dann mit den lokalen Account nicht syncron ist (dort gibt es kein PW). Ich hoffe, dass dies keine Probleme macht.

Da dies alles auf ein und dem selben Server (Univention DC Master) stattfindet, ist ein Mounten nicht notwendig. Es geht darum, dass ein Skript Daten aus dem Samba Share “Entwicklung” auf einen FTP Server schieben soll. Dieses Skript läuft mit dem User “www-data”. Der Fehler in der Logdatei lautet wie folgt (auch nach Anlegen des Dummy-Users):

root@ucsmaster:~# tail /var/log/apache2/error.log

[Mon Dec 01 17:32:58 2014] [error] [client 192.168.100.149] PHP Warning:  ftp_put(/shares/entwicklung/1OpenSach/SVBEMRS.DBF): failed to open stream: Permission denied in /var/www/intranet/ftp-RS-run.php on line 78, referer: http://192.168.100.110/intranet/
[Mon Dec 01 17:32:58 2014] [error] [client 192.168.100.149] PHP Warning:  ftp_put(/shares/entwicklung/1OpenSach/SVBEMRS.NTX): failed to open stream: Permission denied in /var/www/intranet/ftp-RS-run.php on line 91, referer: http://192.168.100.110/intranet/

SirTux · December 1, 2014, 5:52pm

Na das häätest du mal eher sagen sollen. In diesem Fall brauchst du keinen Dummy-User. Da reicht es eine ACL anzulegen, die www-data Leserechte gewährt.

versdirekt · December 1, 2014, 6:07pm

Lieber SirTux …

was soll ich sagen: Es läuft

Habe mich noch nicht so richtig mit den ACLs beschäftigt. Kommt ja wohl auch ehr von den Windowsmaschinen.

Ich danke Dir auf jeden Fall sehr herzlich für die kompetenten Hinweise!

Dir noch einen schönen Abend. Volker Hahn / VERSDIREKT GmbH