Hallo, Am Freitag, 23. November 2001 07:09 schrieb Marc Mc Guinness:
Am Donnerstag, 22. November 2001 23:05 schrieb Rudolf Elpelt:
Am Donnerstag, 22. November 2001 20:31 schrieb Marc Mc Guinness:
Ein Bekannter möchte gerne ein Sambashare, daß über viele Unterverzeichnisse verfügt schreibgeschützt freigeben. Nur in ein Unterverzeichnis soll von jedem geschrieben werden können.
Wie kann man das realisieren? Geht das überhaupt? Ich kann nirgendwo Informationen darüber finden. Wir möchten aber kein neues Share anlegen müssen... Es handelt sich um 140 User, die darauf zugreifen sollen...
also:
Der gesamte Verzeichnisbaum gehört User root und einer Linuxgruppe, die nur Leserechte hat. Nur das eine oder die Unterverzeichnisse werden mit Lese/Schreibrechten für diese Gruppe ausgestattet.
In der Freigabedefinition in der /etc/smb.conf sind die Parameter "force group", "create mode", "force create mode", "directory mode" und "force directory mode" entsprechend zu setzen.
In diesem Zusammenhang sind auch die Parameter "write list", "read list", "admin users", ... interessant.
Ok, soweit war ich auch schon. Nur kann man diese Parameter nicht explizit für Unterverzeichnisse definieren.
man smb.conf ist Dein Freund.
Ja, schon klar...
es ist in der Tat so, daß solche Unterverzeichniskonstrukte mit Samba unter Linux etwas Verrenkungen erfordern. Ich hatte, als ich in der Arbeit den Fileserver auf Linux umgestellt hatte, zunächst das gleiche Problem. Ich habe es zunächst so gelöst, daß ich die User Linuxgruppen zugeordnet habe. Zum Glück können User Mitglied mehrer Gruppen sein. Mein Ansatz ist daher eine verschachtelte Gruppenzugehörigkeitsstruktur. **************************************************************** *** Ein Anmerkung voraus: Diese Methode ist nicht besonders *** *** durchsichtig und ich habe dann bei nächster Gelegenheit *** *** alle Verzeichnisse entflochten und separate Shares ange- *** *** legt. Damit fährt man auf Dauer besser, da transparenter *** *** und für Nachfolger nachvollziehbarer. *** **************************************************************** Die User, die auf alles zugreifen dürfen, sind Mitglied in der Gruppe "G_alles" _und_ in der Gruppe "G_nichtalles". Die User, die nicht auf das Unterverzeichnis zugreifen dürfen, sind _nur_ Mitglied in der Gruppe "G_nichtalles". Der gesamte Verzeichnisbaum gehört der Gruppe "G_nichtalles" mit den Rechten rwxrwx--- bzw. rw-rw---- Das Unterverzeichnis gehört "G_alles" ebenfalls mit den Rechten rwxrwx--- bzw. rw-rw----. Somit haben User die nur in "G_nichtalles" sind darauf keinen Zugriff. In der smb.conf steht: [Meine Share] path = /mein/pfad/zur/share comment = Eine komplizierte Share valid users = +G_nichtalles force group = G_nichtalles create mode = 660 force create mode = 660 directory mode = 770 force directory mode = 770 [ evtl. weitere Parameter wie browseable etc. ] Wenn man sich jetzt mit dem Share verbindet, wird die Gruppe für das Erzeugen von Dateien auf "G_nichtalles" gesetzt. Die User, die in beiden Gruppen sind, können jedoch alle Dateien lesen und schreiben. Die User, die nur in "G_nichtalles" sind, können auf das Unterverzeichnis nicht zugreifen. Man kann dieses Prinzip auch umkehren, also einer Gruppe von Usern Rechte auf einem Unterverzeichnis einräumen, die aber auf den Rest nicht zugreifen dürfen. Durch Einführung noch weiterer verschachtelter Gruppen, kann man auch noch den Zugriff auf weitere untergeordnete Unterverzeichnisse regeln. Aber, wie gesagt, das trägt nicht zur Übersichtlichkeit der Administration bei. Eine Warnung zum Schluß: ======================== Ich habe das jetzt so aus dem Gedächtnis in die Tasten geklopft, weil ich zu Hause sitze und der Rechner in der Arbeit ist. Also erst mal auf einem Testserver ausprobieren. Mit freundlichen Grüßen Rudi -- Rudolf Elpelt EMail: elpelt@t-online.de