Gruppenrechte mit Samba abbilden
Hallo Leute. Bin grade dabei, einen Samba-Server aufzusetzen. Ein Zugriff auf diesen Rechner ist nur via Samba möglich, kein direkter Login, NFS oder sowas. Es sollen so zwischen zehn und 15 User angelegt werden. Ich möchte nun Gruppen bilden, User diesen Gruppen zuordnen, und bestimmte Verzeichnisse nur für Mitglieder bestimmter Gruppen freigeben. Also zum Beispiel: Samba exportiert /vorstand /buchhaltung /mitarbeiter /alle Nun soll der Vorstand überall reingucken dürfen, die Buchhaltung nicht in den Vorstandsordner, Mitarbeiter nicht in /buchhaltung und /vorstand, und der Rest der Welt soll nur auf /alle Zugriff haben. Wie bilde ich das am besten ab? Lege ich hierzu unter Linux meine User und Gruppen an, versehe die entsprechenden Verzeichnisse mit den entsprechenden Rechten, und exportiere sie anschließend? Oder gibt es unter Samba/Windows bessere Möglichkeiten, sowas zu realisieren? Danke. Andy -- Andreas Feile www.feile.net
Hallo Andreas, schau dir mal auf http://www.linuxbu.ch das Kapitel 9 an, dort ist genau das beschrieben was du vorhast. Gruß Detlef Reichelt Andreas Feile schrieb:
Hallo Leute.
Bin grade dabei, einen Samba-Server aufzusetzen. Ein Zugriff auf diesen Rechner ist nur via Samba möglich, kein direkter Login, NFS oder sowas. Es sollen so zwischen zehn und 15 User angelegt werden. Ich möchte nun Gruppen bilden, User diesen Gruppen zuordnen, und bestimmte Verzeichnisse nur für Mitglieder bestimmter Gruppen freigeben.
Also zum Beispiel:
Samba exportiert
/vorstand /buchhaltung /mitarbeiter /alle
Nun soll der Vorstand überall reingucken dürfen, die Buchhaltung nicht in den Vorstandsordner, Mitarbeiter nicht in /buchhaltung und /vorstand, und der Rest der Welt soll nur auf /alle Zugriff haben.
Wie bilde ich das am besten ab? Lege ich hierzu unter Linux meine User und Gruppen an, versehe die entsprechenden Verzeichnisse mit den entsprechenden Rechten, und exportiere sie anschließend?
Oder gibt es unter Samba/Windows bessere Möglichkeiten, sowas zu realisieren?
Danke. Andy
Hallo Leute.
Bin grade dabei, einen Samba-Server aufzusetzen. Ein Zugriff auf diesen Rechner ist nur via Samba möglich, kein direkter Login, NFS oder sowas. Es sollen so zwischen zehn und 15 User angelegt werden. Ich möchte nun Gruppen bilden, User diesen Gruppen zuordnen, und bestimmte Verzeichnisse nur für Mitglieder bestimmter Gruppen freigeben.
Also zum Beispiel: Samba exportiert
/vorstand /buchhaltung /mitarbeiter /alle
Nun soll der Vorstand überall reingucken dürfen, die Buchhaltung nicht in den Vorstandsordner, Mitarbeiter nicht in /buchhaltung und /vorstand, und der Rest der Welt soll nur auf /alle Zugriff haben.
Wie bilde ich das am besten ab? Lege ich hierzu unter Linux meine User und Gruppen an, versehe die entsprechenden Verzeichnisse mit den entsprechenden Rechten, und exportiere sie anschließend? Oder gibt es unter Samba/Windows bessere Möglichkeiten, sowas zu realisieren?
Hallo Andy, soweit ich weiss, geht das erst mit der 3.0-er Version von Samba, da die 2.2.8-er nur die primäre Gruppe der User übernimmt (kannst Du z.B. mit den Tools von "http://www.kixtart.org" überprüfen). D.h. ich würde entweder die 3.0-er Samba (beta3) installieren oder in Linux die Verzeichnisse für die User entsprechend linken (also z.B. gibt's für den Benutzer "vorstand1" einen Link auf das Verzeichnis /vorstand, einen auf /buchhaltung, .... - und der Vorstand ist sinnvollerweise auch in allen Gruppen. Wenn der Vorstand dann aber etwas auf das Verzeichnis schreibt, ist's je nach voreingestellter Berechtigung ggf. nur für seine Gruppe lesbar. Viele Grüsse Joachim
Joachim Kieferle am Samstag, 26. Juli 2003 11:14:
Hallo Leute.
Bin grade dabei, einen Samba-Server aufzusetzen. Ein Zugriff auf diesen Rechner ist nur via Samba möglich, kein direkter Login, NFS oder sowas. Es sollen so zwischen zehn und 15 User angelegt werden. Ich möchte nun Gruppen bilden, User diesen Gruppen zuordnen, und bestimmte Verzeichnisse nur für Mitglieder bestimmter Gruppen freigeben.
Also zum Beispiel: Samba exportiert
/vorstand /buchhaltung /mitarbeiter /alle
Nun soll der Vorstand überall reingucken dürfen, die Buchhaltung nicht in den Vorstandsordner, Mitarbeiter nicht in /buchhaltung und /vorstand, und der Rest der Welt soll nur auf /alle Zugriff haben.
Wie bilde ich das am besten ab? Lege ich hierzu unter Linux meine User und Gruppen an, versehe die entsprechenden Verzeichnisse mit den entsprechenden Rechten, und exportiere sie anschließend? Oder gibt es unter Samba/Windows bessere Möglichkeiten, sowas zu realisieren?
Hallo Andy,
soweit ich weiss, geht das erst mit der 3.0-er Version von Samba, da die 2.2.8-er nur die primäre Gruppe der User übernimmt (kannst Du z.B. mit den Tools von "http://www.kixtart.org" überprüfen). D.h. ich würde entweder die 3.0-er Samba (beta3) installieren oder in Linux die Verzeichnisse für die User entsprechend linken (also z.B. gibt's für den Benutzer "vorstand1" einen Link auf das Verzeichnis /vorstand, einen auf /buchhaltung, .... - und der Vorstand ist sinnvollerweise auch in allen Gruppen.
Wenn der Vorstand dann aber etwas auf das Verzeichnis schreibt, ist's je nach voreingestellter Berechtigung ggf. nur für seine Gruppe lesbar.
Deswegen müssen die Masken vernünftig gesetzt werden: [force] create mask = 0660 (oder 0664) und [force] directory mask = 0770 (bzw. 0775) Anmerkung: Die force-Masken werden mit den vorhandenen Unix-Rechten OR-Verknüpft. Standardmäßig sind die force-Masken auf 0000 gesetzt, so dass die bestehenden Unix-Masken unverändert gültig bleiben. Das reicht in der Regel auch aus. Sinnvoll wäre es hier auch, ggf. den Parameter force group bzw. force user zu setzen. Damit erhält der Client den so zugewiesenen Gruppen- bzw. User-Namen, unabhängig von dem Namen, mit dem er sich zuvor erfolgreich angemeldet hat. -- Gruß MaxX 8-)
Andreas Feile am Samstag, 26. Juli 2003 08:45:
Hallo Leute.
Bin grade dabei, einen Samba-Server aufzusetzen. Ein Zugriff auf diesen Rechner ist nur via Samba möglich, kein direkter Login, NFS oder sowas. Es sollen so zwischen zehn und 15 User angelegt werden. Ich möchte nun Gruppen bilden, User diesen Gruppen zuordnen, und bestimmte Verzeichnisse nur für Mitglieder bestimmter Gruppen freigeben.
Also zum Beispiel:
Samba exportiert
/vorstand /buchhaltung /mitarbeiter /alle
Nun soll der Vorstand überall reingucken dürfen, die Buchhaltung nicht in den Vorstandsordner, Mitarbeiter nicht in /buchhaltung und /vorstand, und der Rest der Welt soll nur auf /alle Zugriff haben.
Wie bilde ich das am besten ab? Lege ich hierzu unter Linux meine User und Gruppen an, versehe die entsprechenden Verzeichnisse mit den entsprechenden Rechten, und exportiere sie anschließend?
Oder gibt es unter Samba/Windows bessere Möglichkeiten, sowas zu realisieren?
Bei Samba-Zugriffen gibt es zwei Formen, von Zugriffsrechten, die beide erfüllt sein müssen: 1. Der User muss entsprechenden Zugriff über die Share-Freigabe erhalten. Parameter: valid users, invalid users, admin users, read list, write list. In diesen Paramtern kannst du einzelne Usernamen, aber auch durch ein vorangestelltes @ Gruppennamen angeben. 2. Der User muss die entsprechenden Linux-Rechte besitzen. Ich würde hier vor allem mit den Zugriffsrechten auf Linux-Ebene arbeiten. Das ist IMHO sicherer und man ist auch für einen evtl. späteren Umstieg auf einen NFS-Zugriff o.ä. vorbereitet. Man kann auch beides miteinander kombinieren, aber da sollte man immer schön den Überblick behalten ;-). -- Gruß MaxX 8-)
...vielen Dank für eure Antworten, hat mir sehr viel geholfen, und habe meine Problemstellung lösen können. Andy -- Andreas Feile www.feile.net
On Saturday 26 July 2003 08:45, Andreas Feile wrote:
Hallo Leute.
Bin grade dabei, einen Samba-Server aufzusetzen. Ein Zugriff auf diesen Rechner ist nur via Samba möglich, kein direkter Login, NFS oder sowas. Es sollen so zwischen zehn und 15 User angelegt werden. Ich möchte nun Gruppen bilden, User diesen Gruppen zuordnen, und bestimmte Verzeichnisse nur für Mitglieder bestimmter Gruppen freigeben.
Also zum Beispiel:
Samba exportiert
/vorstand /buchhaltung /mitarbeiter /alle
Nun soll der Vorstand überall reingucken dürfen, die Buchhaltung nicht in den Vorstandsordner, Mitarbeiter nicht in /buchhaltung und /vorstand, und der Rest der Welt soll nur auf /alle Zugriff haben.
Wie bilde ich das am besten ab? Lege ich hierzu unter Linux meine User und Gruppen an, versehe die entsprechenden Verzeichnisse mit den entsprechenden Rechten, und exportiere sie anschließend?
Oder gibt es unter Samba/Windows bessere Möglichkeiten, sowas zu realisieren?
Ja. Ich würde das über ACLs lösen. Das ist IMHO die transparenteste Lösung mit geringstem Administrationsaufwand. Durchsuch mal das Archiv. Ich habe schon einiges darüber gepostet. Im Zweifelsfall PM an mich.
Danke. Andy
Gruss, Robert -- Robert Szentmihalyi, Entracom GmbH Enter and start communication. - http://www.entracom.de solidBITS - The Server On CD Solution - http://www.solidbits.com
Robert Szentmihalyi, Sonntag, 27. Juli 2003 11:39:
Ja. Ich würde das über ACLs lösen. Das ist IMHO die transparenteste Lösung mit geringstem Administrationsaufwand. Durchsuch mal das Archiv. Ich habe schon einiges darüber gepostet. Im Zweifelsfall PM an mich.
OK, hab gesucht. Sehe ich das richtig, daß ich mir dafür 1. Den Kern neu übersetzen muß (damit er xfs kann) 2. Das Samba der SuSE 8.2 neu übersetzen muß (damit es ACL kann) 3. XFS als FS einsetzen muß? Hmm, ich glaub, soviel Zeit kann ich später gar nicht einsparen, wie mich das kosten würde... Oder übersehe ich da was? Gruß. Andy -- Andreas Feile www.feile.net
participants (5)
-
Andreas Feile
-
Detlef Reichelt
-
Joachim Kieferle
-
Matthias Houdek
-
Robert Szentmihalyi