Hallo, bevor ich mir nun endgültig einen Knoten in Gehirn denke, frage ich doch einfach mal bei Euch nach, ob sich folgendes Szenario überhaupt realisieren lässt. Gegeben sein eine linux-Verzeichnisstruktur (z.B. /samba/test1), welche komplett via Samba freigegeben wird. Gegeben sei weiterhin ein Verzeichnis an beliebiger Stelle in diesem Dateibaum. Diese Verzeichnis enthält sowohl Dateien wie auch Unterverzeichnisse. 1.) Die _Dateien_ in diesem Verzeichnis sollen nur von einer bestimmten Gruppe lese- und beschreibbar sein. Wird eine neue Datei in diesem Verzeichnis angelegt, soll diese automatisch ebenfalls der Gruppe gehören und die gleichen Rechte besitzen. 2.) Aber, eines oder mehrere der enthaltenen Unterverzeichnisse sollen wiederum von einer anderen Gruppe lese- und beschreibbar sein. Geht so etwas überhaupt ? -- Herzliche Grüße Tao -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Samstag, 15. Oktober 2011, 21:02:23 schrieb Tao te Puh:
Hallo,
bevor ich mir nun endgültig einen Knoten in Gehirn denke, frage ich doch einfach mal bei Euch nach, ob sich folgendes Szenario überhaupt realisieren lässt.
Gegeben sein eine linux-Verzeichnisstruktur (z.B. /samba/test1), welche komplett via Samba freigegeben wird.
Gegeben sei weiterhin ein Verzeichnis an beliebiger Stelle in diesem Dateibaum. Diese Verzeichnis enthält sowohl Dateien wie auch Unterverzeichnisse.
1.) Die _Dateien_ in diesem Verzeichnis sollen nur von einer bestimmten Gruppe lese- und beschreibbar sein. Wird eine neue Datei in diesem Verzeichnis angelegt, soll diese automatisch ebenfalls der Gruppe gehören und die gleichen Rechte besitzen.
2.) Aber, eines oder mehrere der enthaltenen Unterverzeichnisse sollen wiederum von einer anderen Gruppe lese- und beschreibbar sein.
Geht so etwas überhaupt ?
Wenn du irgendwie mit Sticky Bits (2770) arbeitest, dann könnte das schon irgendwie klappen. Ansonste könntest du einfach zwei Samba Freigaben mit unterschiedlichen Rechten erstellen, und die Ordner miteinandern entsprechend mit Symlinks versehen. -- Matthias -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 15.10.2011 21:54, schrieb Matthias Praunegger:
Am Samstag, 15. Oktober 2011, 21:02:23 schrieb Tao te Puh:
Hallo,
bevor ich mir nun endgültig einen Knoten in Gehirn denke, frage ich doch einfach mal bei Euch nach, ob sich folgendes Szenario überhaupt realisieren lässt.
Gegeben sein eine linux-Verzeichnisstruktur (z.B. /samba/test1), welche komplett via Samba freigegeben wird.
Gegeben sei weiterhin ein Verzeichnis an beliebiger Stelle in diesem Dateibaum. Diese Verzeichnis enthält sowohl Dateien wie auch Unterverzeichnisse.
1.) Die _Dateien_ in diesem Verzeichnis sollen nur von einer bestimmten Gruppe lese- und beschreibbar sein. Wird eine neue Datei in diesem Verzeichnis angelegt, soll diese automatisch ebenfalls der Gruppe gehören und die gleichen Rechte besitzen.
2.) Aber, eines oder mehrere der enthaltenen Unterverzeichnisse sollen wiederum von einer anderen Gruppe lese- und beschreibbar sein.
Geht so etwas überhaupt ?
Wenn du irgendwie mit Sticky Bits (2770) arbeitest, dann könnte das schon irgendwie klappen.
Ansonste könntest du einfach zwei Samba Freigaben mit unterschiedlichen Rechten erstellen, und die Ordner miteinandern entsprechend mit Symlinks versehen.
Danke für Deinen Hinweis. SGID war ursprünglich auch mein erster Gedanke. Dann habe ich mich allerdings verzettelt, bin in den Untiefen von ACL gelandet und habe mich dort ganz fürchterlich verlaufen ... Jetzt habe ich es aber soweit hin bekommen und es war eigentlich gar nicht so schwer. Es endete in einem Zusammenspiel von SGID sowie den "mask"- und "force*mode"-Optionen zum festlegen der Datei und Verzeichnis-Modi (Dateien 770, Verzeichnisse 775). Wenn man nun allerdings noch erreichen will, dass die Dateien in dem Verzeichnis von einer Gruppe les- und beschreibbar und von einer anderen Gruppe nur lesbar sind, dann wird es hässlich und man muss doch auch noch ACL mit ins Boot holen. -- Herzliche Grüße Tao -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Sat, Oct 15, 2011 at 09:02:23PM +0200, Tao te Puh wrote:
Gegeben sei weiterhin ein Verzeichnis an beliebiger Stelle in diesem Dateibaum. Diese Verzeichnis enthält sowohl Dateien wie auch Unterverzeichnisse.
1.) Die _Dateien_ in diesem Verzeichnis sollen nur von einer bestimmten Gruppe lese- und beschreibbar sein. Wird eine neue Datei in diesem Verzeichnis angelegt, soll diese automatisch ebenfalls der Gruppe gehören und die gleichen Rechte besitzen.
2.) Aber, eines oder mehrere der enthaltenen Unterverzeichnisse sollen wiederum von einer anderen Gruppe lese- und beschreibbar sein.
Geht so etwas überhaupt ?
Ja wäre jetzt die volkommen ausreichende Antwort auf die Frage. Ich sag aber auch mal was zum wie. ;) Ich würde mit eine entsprechende default ACL setzen. Bzw. in Deinem Fall brauchst Du zwei. Eine "oben" /samba/test1/ und eine zweite dann für /samba/test1/untergruppe/ Extended ACLs haben den Vorteil, dass das Verhalten für einen CIFS- Client (Microsoft Windows, smbclient, Linux kernel cifs) soweit per Samba exportiert _und_ die Linux-Nutzer identisch ist. Das ist auch der Grund, weshalb alle Shares über die potentielle Daten zwischen Nutzern ausgetauchst werden könnten in /etc/samba/smb.conf "inherit acls = Yes" gesetzt haben. Zu ACLs finde ich weiterhin Andreas Gedanken am nützlichsten. Siehe http://suse.de/~agruen/ Die man-Pages erklären es auch, aber wie immer wesentlich abstrakter. Als praktischen Tip kann ich Dir noch "getfacl --tab" mit auf den Weg geben. Die Ausgabe finde ich zumindestends intuitiver lesbar. Das Mapping der UNIX-Rechte in die Microsoft-Welt ist ein weiteres spannendes Thema. Schalten Sie also auch nächste Woche wieder ein ... Lars -- Lars Müller [ˈlaː(r)z ˈmʏlɐ] Samba Team SUSE Linux, Maxfeldstraße 5, 90409 Nürnberg, Germany
Am 16.10.2011 18:05, schrieb Lars Müller:
On Sat, Oct 15, 2011 at 09:02:23PM +0200, Tao te Puh wrote:
Gegeben sei weiterhin ein Verzeichnis an beliebiger Stelle in diesem Dateibaum. Diese Verzeichnis enthält sowohl Dateien wie auch Unterverzeichnisse.
1.) Die _Dateien_ in diesem Verzeichnis sollen nur von einer bestimmten Gruppe lese- und beschreibbar sein. Wird eine neue Datei in diesem Verzeichnis angelegt, soll diese automatisch ebenfalls der Gruppe gehören und die gleichen Rechte besitzen.
2.) Aber, eines oder mehrere der enthaltenen Unterverzeichnisse sollen wiederum von einer anderen Gruppe lese- und beschreibbar sein.
Geht so etwas überhaupt ?
Ja wäre jetzt die volkommen ausreichende Antwort auf die Frage. Ich sag aber auch mal was zum wie. ;)
Da bin ich aber froh!
Ich würde mit eine entsprechende default ACL setzen. Bzw. in Deinem Fall brauchst Du zwei.
Eine "oben" /samba/test1/ und eine zweite dann für /samba/test1/untergruppe/
Soweit war ich auch schon, dann habe ich mich aber beim Ausprobieren total verlaufen und irgendwann drehte sich alles.
Extended ACLs haben den Vorteil, dass das Verhalten für einen CIFS- Client (Microsoft Windows, smbclient, Linux kernel cifs) soweit per Samba exportiert _und_ die Linux-Nutzer identisch ist.
Stand meines Wissens, würde ich dem erst einmal, ganz Kleinlaut, widersprechen. Zumindest hatte ich unterschiedliche Rechte-Ergebnisse wenn ich eine Datei einmal unter Linux und einmal mittels Samba angelegt hatte. Aber es kann auch sein, dass ich mich da nicht korrekt erinnere, da eigentlich alle meine Ergebnisse irgendwie mit einem "oops, na das hätte ich jetzt nicht erwartet" versehen waren. Aber ich denke schon, dass man das hinbekommen kann - nicht für jeden Fall (das habe ich zumindest so gelesen) aber für die Praxis durchaus brauchbar. Man hat halt mit den Standard-Linux-Rechten, ACL, mode, umask und Samba-Optionen aber vor allem, deren Wechselbeziehungen bei der letztendlichen Auswertung und Vergabe der effektiven Rechte, eine ordentliche Anzahl Stellschrauben an denen man sich sehr schnell vertun kann. Ich habe eine Heidenrespekt vor allen, die das auf dem Latschen pfeifen können.
Das ist auch der Grund, weshalb alle Shares über die potentielle Daten zwischen Nutzern ausgetauchst werden könnten in /etc/samba/smb.conf "inherit acls = Yes" gesetzt haben.
Die erben dann jeweils die "Default ACL" des Zielordners, oder?
Zu ACLs finde ich weiterhin Andreas Gedanken am nützlichsten. Siehe http://suse.de/~agruen/
Oh ja, vielen Dank für diesen Link - den hätte ich ein paar Tage früher gebraucht. Ich hatte nun zwar schon in Menge zu dem Thema gelesen, aber das ist eine echt gute Einführung.
Die man-Pages erklären es auch, aber wie immer wesentlich abstrakter.
Oh ja, viel abstrakter. Ich hatte mich an "man acl" versucht, aber recht schnell den Überblick verloren.
Als praktischen Tip kann ich Dir noch "getfacl --tab" mit auf den Weg geben. Die Ausgabe finde ich zumindestends intuitiver lesbar.
Stimmt, danke.
Das Mapping der UNIX-Rechte in die Microsoft-Welt ist ein weiteres spannendes Thema. Schalten Sie also auch nächste Woche wieder ein ...
BTW: Wo ich gerade den Samba-Experten am Rohr habe: Kann man in Samba eigentlich den Mechanismus abschalten der bewirkt, dass Windows-Benutzer die Datei- und Verzeichnisrechte individuell von ihrer Kiste aus ändern. Ich möchte gerne eine absolut starre Rechte-Struktur erreichen die einzig und allein von der Serverseite aus definiert/kontrolliert - und so dann auch im QM-Handbuch verewigt - wird. Ich weiß, wenn das funktioniert, dann steht es garantiert irgendwo in "man smb.conf", aber die ist so elendig lang ... -- Herzliche Grüße Tao -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (3)
-
Lars Müller -
Matthias Praunegger -
Tao te Puh