Am 10.06.2017 um 23:29 schrieb Matthias Müller:
Hallo,
Am Samstag, 10. Juni 2017, 20:20:35 schrieb Manfred Kreisl: Snip
Kleine Korrektur: Die Gruppe lautet users und das ist auch noch heute so, zumindest bei openSUSE. Debian/Ubuntu verhalten sich da anders, da wird neben dem User immer eine Gruppe selbigen Namens angelegt Stimmt, war ein Fipptehler
Snip
Ich denke, du musst hier an der smb.conf ansetzen. Für die Sektion [home] gibt es ua den Parameter "valid user = %S". Wenn der gesetzt ist sollte allerdings der Parameter "guest ok = no" sein.
Das ändert aber rein gar nichts an dem Verhalten, grade mal ausprobiert. Funktioniert zwar mit den [homes] Share,
aber mit keiner anderen Share. Natürlich nicht. Ich weiß jetzt nicht, wie tief du in der Konfiguration von Samba drin bist. Dh, das folgende könnte Klugsch… sein. Nein, ist es definitiv nicht ;-)
Beim Zugriff auf den Share [homes], prüft Samba wer zugreifen will und stellt fest, das ist der Anwender "username". Geprüft wird noch ob er überhaupt auf die Shares zugreifen darf, zB über die smbpasswd. In der /etc/passwd ist für den Benutzer "username" das Verzeichnis "/home/username" hinterlegt. Der Wert "%S" für "valid user" wird durch Samba zu "username" aufgelöst. Jetzt prüft der smbd, über die /etc/passwd, ob der Benutzername und das Home-Verzeichnis zusammen passen und ordnet das Home-Verzeichnis dem Share [homes] zu. Dieser Share wird dann auf dem Client zu "//server/username" aufgelöst.
Das gleiche läuft für den Benutzer "benutzername" ab. Da aber für "benutzername" ein anderes Home-Verzeichnis in der /etc/passwd steht, hat er keinen Zugriff auf "//server/username". Und umgekehrt "username" darf nicht in "//server/benutzername" rein.
Sollte zumindest so sein und funktioniert bei uns im Büro mit ca 200 Anwendern eigentlich auch so. Hatte ich ja auch so bestätigt, da funktioniert es. Aber schon wenn man etwas unterhalb //server/username mounted (in meinem Falle /home/manfred/Documents), klappt das Ganze schon nicht mehr. Und das ist ja ein wenig seltsam, da ja im Grunde genommen das Share identisch ist.
BTW, wer hat nun Recht bei %S: O'Reilly sagt zu %S %S Name der aktuellen Freigabe, und Du sagst "%S" für "valid user"
Bei allen anderen Shares greift der Mechanismus so nicht. Für diese Shares ist nirgends hinterlegt, dass sie irgend einem Benutzer zugeordnet sind. Außer vielleicht über die Linux-Dateirechte.
Beim Zugriff auf zB den Share [daten] wird zwar geprüft, wer zugreifen will. Es wird auch geprüft, ob der Benutzername in der /etc/passwd und möglichweise auch in der smbpasswd auftaucht, eventl wird ein Passwort abgefragt. Und es wird %S aufgelöst, und zwar in den Namen, der gerade zugreifen will. Also in "username" und, in einem parallelen smbd-Prozess, zu "benutzername". In beiden Fällen gilt für den Share [daten], "valid user = %S", dh beide Benutzer haben Zugriff. In aller Regel lesend und schreibend. Wenn du verhindern willst, dass der Anwender "benutzername" in den Share [daten] schreiben kann, hilft hier nur, dass du den Parameter "valid user = username" setzt. Es gibt noch etliche Parameter mehr, mit denen dann der Zugriff feinstreifiger geregelt werden kann.
Meiner Meinung nach musst du dein Zugriffsproblem über die Rechtevergabe regeln. Ob das jetzt Einträge in der smbpasswd, der smb.conf oder über sonstige Parameter in der Rechteverwaltung deiner Benutzerverwaltung musst du selbst rausfinden, hier kann ich dir leider nicht weiter helfen.
Macht ja nichts, ich habe den Thread ja nicht eröffnet, habe also kein potentielles Problem damit. Habe halt nur mal meine Gedanken dazu geäußert. Meiner Meinung ist das Problem, das Philipp angesprochen hat, mit Samba Konfiguriererei nicht in den Griff zu bekommen, oder wenn doch nur durch endlose Herumprobiererei. Da ist die von Ihm verwendete Lösung wesentlich einfacher und effizienter ;-) oder gleich das home Verzeichnis auf 0700 setzen, dann ist Ruhe :-)
Sorry, falls dir das alles schon bekannt ist. Außerdem ist es etwas simpel formuliert und deshalb möglicherweise auch ziemlich vereinfacht.
Kein Problem :-) Gruß Manfred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org