Fred Ockert
age@ifak-system.com schrieb:
Hallo,
Fred Ockert
wrote on 14.03.2007 19:24:20: Maximilian Steinbauer schrieb:
-----Ursprüngliche Nachricht----- Von: age@ifak-system.com [mailto:age@ifak-system.com] Gesendet: Mittwoch, 14. März 2007 15:50 An: opensuse-de@opensuse.org Betreff: samba3 und acl's
Hallo Liste,
ich habe hier samba 3.0.24 mit einer Benutzerdatenbank in openldap auf suse 10.1-x86_64 laufen. Samba läuft nur als File-Server und nicht als Domänen-Server.
Mein Problem liegt nun bei den Berechtigungen. Unter Windows kann ich die Rechte des Benutzers auf z.B. eine Datei ändern. Wenn ich aber einen Benutzer oder eine Gruppe hinzufügen (bzw. erst löschen und dann hinzufügen) möchte, dann wird mir keine Liste der möglichen Benutzer angezeigt und damit kann ich auch nichts hinzufügen.
Ist dies technisch nicht möglich oder ist das "nur" eine Konfigurations-Sache? Ist es über die ACL's möglich, Rechte für mehrere User/Gruppen zu vergeben oder scheitert das daran, das Linux für eine Datei nur einen Benutzer, eine Gruppe und einmal Jeder zuordnen kann?
Danke für jeden Tip....
Mit freundlichen Grüßen
Andreas Gegner
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Andreas,
So viel mir bekannt ist, setzt Samba auf die Rechte des Linux-File-System auf. Mir sind nur die Rechte für use,group und other bekannt - je einer, kannst Du es über Sambagruppen lösen und in der Sambaconf dann mit "force group" oder "force user" arbeiten. Wäre einen Versuch wert, Sambagruppen kannst Du ja mehrere setzen.
Max
Du kannst auch die WindowsGruppen auf Unix-Gruppen mappen
Das Problem ...siehe oben : ..unter Windows kann ich.... geht also
auch
unter Samba -> ganz genau so! Bloss.... wir reden hier von Windows NT 4.0 und dem dazugehörigen Modell......nicht von ActiveDirectory! das ist (noch) nicht abgebildet... Samba 4 Technology-Preview hilft Dir da vielleicht weiter...aber eben noch Technologiestudie.
Ich habe aber auch nocht nicht versucht, von Win aus, Gruppen/Userrechte zu ändern...zumal sich Windows + Unix-Rechte überlagern. Win darf alles ...Einschränkungen werden bei Unix gemacht hat bisher gereicht... zumal -> das kann ich relativ problemlos im Backup ablegen bzw. aus dem Backup zurückschreiben....
Andere Sache - welches Modell verwendest Du ( security = ?) peer to Peer oder Domain ? wenn ja, wer ist der Domaincontroller ( NT4 oder ADS ?) Im Peer-Betrieb gibt es eh keine zentralen File-ACL's ... kann ADS eine NT-Domain mit einbinden ?? Sorry ... alles entweder mit OS7"-Warp-Server oder Linux-Samba Server bisher gemacht.....Win-Server kenne ich eher dem Namen nach... (muss jetzt gerade MS-SQLServer aufsetzen...)
Grusse Fred
danke erst mal für die Tips. Ich habe mein Problem gerade gelöst. Im global-Bereich meiner smb.conf hatte ich noch "map acl inherit" drin stehen (keine Ahnung warum). Ich habs rausgenommen und jetzt werden zumind. die User/Gruppen angezeigt. Interessanterweise verlangt er zum Anzeigen nochmal den Usernamen und das Passwort. Als security-level habe ich gar nichts
ah ja .. macht er als Peer immer ...dann must du ihn als PDC laufen lassen mit Domainanmeldung
warum sollte ich Ihn als PDC laufen lassen? Was bringt mir ein PDC, außer das die user ihre Profile auf dem Server speichern?
local master = yes
local master ist schon ein anderer Server, aber egal....
domain master = yes domain logons = yes security = user # password server = 192.168.0.1 (??)
steht aber bei SuSE alles un den Beispiel-config's drin /usr/share/doc/packages/samba.... glaub ich
eingestellt. Der Server läuft also mit security=user.
also - hier (bei mir) gibt es eine extra Ordnerstruktur (die hat nix mit Gruppen + Usern zu tun, so wie sie in Samba vorgeschlagen werden)
letztlich wird alles auf die Unix-Ebene abgebildet... (wollte mich mit extra ACL's noch nicht rumschlagen) wobei das eXecute-Bit "fremdverwendet" wird also 7777 als Maske - Beschreibungen gibts per Google zu finden. stehen hier für allgemeine Ordner aus 2777 in Zusammenhang mit valid users = @gruppe1,@gruppe2, user_x , user_y funktioniert das recht brauchbar. Also nicht identische Rechte bei Samba + Unix... Files erben normalerweise die Gruppenrechte... Smoothbit mag ich nicht (nur der Owner darf löschen)..
vom smoothbit hab ich noch nie gehört
Homes werden wohlweislich nicht verwendet........ bei mehrerereren Leute dürfen die anderen alle nicht in fremde Homes... (dito für groups...)
in fremde Homes können Sie eh nicht, aber das Laufwerk um das es geht ist ein Datenaustausch-LW und da hat jeder User sein eigenes Verzeichnis und in dieses Verzeichnis müssen auch andere User schreiben können
Mit force group arbeite ich schon. Im entsprechenden Laufwerk soll es
aber
nicht möglich sein Dateien im Verzeichnis eines anderen Users zu löschen. smoothbit setzen für das Verzeichnis zum vererben
Im eigenen Verzeichnis soll dies aber schon möglich sein. Daher "spiele" ich gerade etwas mit den security masks rum und hoffe es damit hinzukriegen.
nix security masks - > unix masks machen das...
ist das ein Samba-Parameter? In der Doku finde ich ihn nämlich gar nicht oder versteh ich das falsch?
oder du hast ALLE unix-Bits gesetzt und blendest mit Maskierung dann einige weg.. das könnte vielleicht auch gehen... (oder war es andersrum ?)
mfg
Andreas Gegner
Gruss
Fred
mfg Andreas Gegner -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org