Hallo! Ein Bekannter möchte gerne ein Sambashare, daß über viele Unterverzeichnisse verfügt schreibgeschützt freigeben. Nur in ein Unterverzeichnis soll von jedem geschrieben werden können. Wie kann man das realisieren? Geht das überhaupt? Ich kann nirgendwo Informationen darüber finden. Wir möchten aber kein neues Share anlegen müssen... Es handelt sich um 140 User, die darauf zugreifen sollen... MfG, Marc Mc Guinness -- "Never surf faster, than your guardian penguin can fly!"
On 22-Nov-01 Marc Mc Guinness wrote:
Ein Bekannter möchte gerne ein Sambashare, daß über viele Unterverzeichnisse verfügt schreibgeschützt freigeben. Nur in ein Unterverzeichnis soll von jedem geschrieben werden können.
Wie kann man das realisieren? Geht das überhaupt? Ich kann nirgendwo Informationen darüber finden. Wir möchten aber kein neues Share anlegen müssen... Es handelt sich um 140 User, die darauf zugreifen sollen...
Ich denke das sollte man über Gruppenrechte auf der Filesystemebene hinbiegen können. -- Erhard Schwenk http://www.fto.de - http://www.akkordeonjugend.de No Spam replies please.
On Thu, 22 Nov 2001, Erhard Schwenk wrote:
Date: Thu, 22 Nov 2001 20:43:31 +0100 (CET) From: Erhard Schwenk
On 22-Nov-01 Marc Mc Guinness wrote:
Ein Bekannter m�chte gerne ein Sambashare, da� �ber viele Unterverzeichnisse verf�gt schreibgesch�tzt freigeben. Nur in ein Unterverzeichnis soll von jedem geschrieben werden k�nnen.
Wie kann man das realisieren? Geht das �berhaupt? Ich kann nirgendwo Informationen dar�ber finden. Wir m�chten aber kein neues Share anlegen m�ssen... Es handelt sich um 140 User, die darauf zugreifen sollen...
Ich denke das sollte man �ber Gruppenrechte auf der Filesystemebene hinbiegen k�nnen.
-- Erhard Schwenk
Hallo Marc, ich wuerde bevorzugen, das schreibgeschuetzte Verzeichnis auch nur read only freizugeben, und das schreibbare Unterverzeichnis als seprate share anzubieten; die share sollte writeable=yes bzw. read only=no sein. Die Unix-Accounts der 140 Samba User muessen in einer group sein. Das Verzeichnis (path=...) bekommt modus 550 - das schreibbare Unterverzeichnis bekommt modus 770 und muss der group gehoeren. chmod -f -R 550 /verzeichnis chmod -f -R 770 /verzeichnis/schreibares/unterverz chgrp -f -R group /verzeichnis [share] path=/verzeichnis writeable=yes MfG, Conrad Gliem
Hallo! Am Donnerstag, 22. November 2001 22:41 schrieb Conrad Gliem:
On Thu, 22 Nov 2001, Erhard Schwenk wrote:
Date: Thu, 22 Nov 2001 20:43:31 +0100 (CET) From: Erhard Schwenk
On 22-Nov-01 Marc Mc Guinness wrote:
Ein Bekannter möchte gerne ein Sambashare, daß über viele Unterverzeichnisse verfügt schreibgeschützt freigeben. Nur in ein Unterverzeichnis soll von jedem geschrieben werden können.
Wie kann man das realisieren? Geht das überhaupt? Ich kann nirgendwo Informationen darüber finden. Wir möchten aber kein neues Share anlegen müssen... Es handelt sich um 140 User, die darauf zugreifen sollen...
Ich denke das sollte man über Gruppenrechte auf der Filesystemebene hinbiegen können.
-- Erhard Schwenk
Hallo Marc,
ich wuerde bevorzugen, das schreibgeschuetzte Verzeichnis auch nur read only freizugeben, und das schreibbare Unterverzeichnis als seprate share anzubieten;
Jo, hätte ich auch so gemacht, aber mein Freund meint, daß das auch anders gehen müsste.
die share sollte writeable=yes bzw. read only=no sein.
Die Unix-Accounts der 140 Samba User muessen in einer group sein.
Genau das möchten wir nicht. MfG Marc Mc Guinness -- "Never surf faster, than your guardian penguin can fly!"
Hallo, Am Donnerstag, 22. November 2001 20:31 schrieb Marc Mc Guinness:
Hallo!
Ein Bekannter möchte gerne ein Sambashare, daß über viele Unterverzeichnisse verfügt schreibgeschützt freigeben. Nur in ein Unterverzeichnis soll von jedem geschrieben werden können.
Wie kann man das realisieren? Geht das überhaupt? Ich kann nirgendwo Informationen darüber finden. Wir möchten aber kein neues Share anlegen müssen... Es handelt sich um 140 User, die darauf zugreifen sollen...
also: Der gesamte Verzeichnisbaum gehört User root und einer Linuxgruppe, die nur Leserechte hat. Nur das eine oder die Unterverzeichnisse werden mit Lese/Schreibrechten für diese Gruppe ausgestattet. In der Freigabedefinition in der /etc/smb.conf sind die Parameter "force group", "create mode", "force create mode", "directory mode" und "force directory mode" entsprechend zu setzen. In diesem Zusammenhang sind auch die Parameter "write list", "read list", "admin users", ... interessant. man smb.conf ist Dein Freund. Mit freundlichen Grüßen Rudi -- Rudolf Elpelt EMail: elpelt@t-online.de
Hallo! Am Donnerstag, 22. November 2001 23:05 schrieb Rudolf Elpelt:
Hallo,
Am Donnerstag, 22. November 2001 20:31 schrieb Marc Mc Guinness:
Hallo!
Ein Bekannter möchte gerne ein Sambashare, daß über viele Unterverzeichnisse verfügt schreibgeschützt freigeben. Nur in ein Unterverzeichnis soll von jedem geschrieben werden können.
Wie kann man das realisieren? Geht das überhaupt? Ich kann nirgendwo Informationen darüber finden. Wir möchten aber kein neues Share anlegen müssen... Es handelt sich um 140 User, die darauf zugreifen sollen...
also:
Der gesamte Verzeichnisbaum gehört User root und einer Linuxgruppe, die nur Leserechte hat. Nur das eine oder die Unterverzeichnisse werden mit Lese/Schreibrechten für diese Gruppe ausgestattet.
In der Freigabedefinition in der /etc/smb.conf sind die Parameter "force group", "create mode", "force create mode", "directory mode" und "force directory mode" entsprechend zu setzen.
In diesem Zusammenhang sind auch die Parameter "write list", "read list", "admin users", ... interessant.
Ok, soweit war ich auch schon. Nur kann man diese Parameter nicht explizit für Unterverzeichnisse definieren.
man smb.conf ist Dein Freund.
Ja, schon klar... MfG, Marc Mc Guinness -- "Never surf faster, than your guardian penguin can fly!"
Hallo, Am Freitag, 23. November 2001 07:09 schrieb Marc Mc Guinness:
Am Donnerstag, 22. November 2001 23:05 schrieb Rudolf Elpelt:
Am Donnerstag, 22. November 2001 20:31 schrieb Marc Mc Guinness:
Ein Bekannter möchte gerne ein Sambashare, daß über viele Unterverzeichnisse verfügt schreibgeschützt freigeben. Nur in ein Unterverzeichnis soll von jedem geschrieben werden können.
Wie kann man das realisieren? Geht das überhaupt? Ich kann nirgendwo Informationen darüber finden. Wir möchten aber kein neues Share anlegen müssen... Es handelt sich um 140 User, die darauf zugreifen sollen...
also:
Der gesamte Verzeichnisbaum gehört User root und einer Linuxgruppe, die nur Leserechte hat. Nur das eine oder die Unterverzeichnisse werden mit Lese/Schreibrechten für diese Gruppe ausgestattet.
In der Freigabedefinition in der /etc/smb.conf sind die Parameter "force group", "create mode", "force create mode", "directory mode" und "force directory mode" entsprechend zu setzen.
In diesem Zusammenhang sind auch die Parameter "write list", "read list", "admin users", ... interessant.
Ok, soweit war ich auch schon. Nur kann man diese Parameter nicht explizit für Unterverzeichnisse definieren.
man smb.conf ist Dein Freund.
Ja, schon klar...
es ist in der Tat so, daß solche Unterverzeichniskonstrukte mit Samba unter Linux etwas Verrenkungen erfordern. Ich hatte, als ich in der Arbeit den Fileserver auf Linux umgestellt hatte, zunächst das gleiche Problem. Ich habe es zunächst so gelöst, daß ich die User Linuxgruppen zugeordnet habe. Zum Glück können User Mitglied mehrer Gruppen sein. Mein Ansatz ist daher eine verschachtelte Gruppenzugehörigkeitsstruktur. **************************************************************** *** Ein Anmerkung voraus: Diese Methode ist nicht besonders *** *** durchsichtig und ich habe dann bei nächster Gelegenheit *** *** alle Verzeichnisse entflochten und separate Shares ange- *** *** legt. Damit fährt man auf Dauer besser, da transparenter *** *** und für Nachfolger nachvollziehbarer. *** **************************************************************** Die User, die auf alles zugreifen dürfen, sind Mitglied in der Gruppe "G_alles" _und_ in der Gruppe "G_nichtalles". Die User, die nicht auf das Unterverzeichnis zugreifen dürfen, sind _nur_ Mitglied in der Gruppe "G_nichtalles". Der gesamte Verzeichnisbaum gehört der Gruppe "G_nichtalles" mit den Rechten rwxrwx--- bzw. rw-rw---- Das Unterverzeichnis gehört "G_alles" ebenfalls mit den Rechten rwxrwx--- bzw. rw-rw----. Somit haben User die nur in "G_nichtalles" sind darauf keinen Zugriff. In der smb.conf steht: [Meine Share] path = /mein/pfad/zur/share comment = Eine komplizierte Share valid users = +G_nichtalles force group = G_nichtalles create mode = 660 force create mode = 660 directory mode = 770 force directory mode = 770 [ evtl. weitere Parameter wie browseable etc. ] Wenn man sich jetzt mit dem Share verbindet, wird die Gruppe für das Erzeugen von Dateien auf "G_nichtalles" gesetzt. Die User, die in beiden Gruppen sind, können jedoch alle Dateien lesen und schreiben. Die User, die nur in "G_nichtalles" sind, können auf das Unterverzeichnis nicht zugreifen. Man kann dieses Prinzip auch umkehren, also einer Gruppe von Usern Rechte auf einem Unterverzeichnis einräumen, die aber auf den Rest nicht zugreifen dürfen. Durch Einführung noch weiterer verschachtelter Gruppen, kann man auch noch den Zugriff auf weitere untergeordnete Unterverzeichnisse regeln. Aber, wie gesagt, das trägt nicht zur Übersichtlichkeit der Administration bei. Eine Warnung zum Schluß: ======================== Ich habe das jetzt so aus dem Gedächtnis in die Tasten geklopft, weil ich zu Hause sitze und der Rechner in der Arbeit ist. Also erst mal auf einem Testserver ausprobieren. Mit freundlichen Grüßen Rudi -- Rudolf Elpelt EMail: elpelt@t-online.de
Nochmal hallo, Am Freitag, 23. November 2001 21:01 schrieb Rudolf Elpelt:
Hallo,
Am Donnerstag, 22. November 2001 23:05 schrieb Rudolf Elpelt:
Am Donnerstag, 22. November 2001 20:31 schrieb Marc Mc Guinness:
Ein Bekannter möchte gerne ein Sambashare, daß über viele Unterverzeichnisse verfügt schreibgeschützt freigeben. Nur in ein Unterverzeichnis soll von jedem geschrieben werden können.
Wie kann man das realisieren? Geht das überhaupt? Ich kann nirgendwo Informationen darüber finden. Wir möchten aber kein neues Share anlegen müssen... Es handelt sich um 140 User, die darauf zugreifen sollen... [...] [Meine Share]
Am Freitag, 23. November 2001 07:09 schrieb Marc Mc Guinness: path = /mein/pfad/zur/share comment = Eine komplizierte Share valid users = +G_nichtalles force group = G_nichtalles create mode = 660 force create mode = 660 directory mode = 770 force directory mode = 770 [ evtl. weitere Parameter wie browseable etc. ]
ich habe gerade meine Mail nochmal gelesen, und mir ist aufgefallen, daß Du ja alles schreibgeschützt haben willst, und nur das Unterverzeichnis soll beschrieben und gelesen werden können. Da Deine 140 User ja sowieso auf alles lesend zugreifen sollen, brauchst Du dann auch diese von mir vorgeschlagene Gruppenstruktur nicht. Die brauchst Du nur, wenn manche mehr dürfen als andere. Aber Du kannst doch dem gesamten Verzeichnisbaum einfach die Gruppenschreibrechte wegnehmen. Nur das Unterverzeichnis und der gesamte Inhalt hat auch Schreibrechte. Die "create mode" etc. Rechte würde ich so wie oben lassen, sowie auch den "force group" Wenn sich jetzt einer verbindet, sagt ihm der Sambaserver, daß er schreiben darf, aber die Unix-Rechte lassen dies nur in dem erlaubten Unterverzeichnis zu. Erzeugte Dateien werden wieder mit Lese/Schreibrechten für die Gruppe erzeugt. Du mußt nur beachten, daß Dateien, die jemand unter Linux dort abspeichert, nachher mit den entsprechenden Rechten versehen werden. Wenn es öfter vorkommt, daß jemand unter Linux auf das Verzeichnis zugreift, empfielt sich hier ein cron-job, der das übernimmt. Das ist im übrigen praktisch der Ansatz, den ich schon in meiner ersten Mail geschrieben habe. (Ich war dann wegen Deiner Antwort nur ein wenig verunsichert und habe die ursprüngliche Mail nicht mehr genau gelesen.) Man muß beim Zusammenspiel von Samba und Linux beachten, daß der Zugriff sowohl über Samba als auch über die Linux Dateirechte geregelt wird. Wenn der Sambaserver den Zugriff erlaubt, müssen die entsprechenden Linuxrechte auch noch stimmen, damit der Zugriff _wirklich_ erlaubt wird. Mit freundlichen Grüßen Rudi -- Rudolf Elpelt EMail: elpelt@t-online.de
participants (4)
-
Conrad Gliem
-
Elpelt@t-online.de
-
Erhard Schwenk
-
Marc Mc Guinness