Samba 4.5.12-Debian Rechtevergabe

Probleme mit Samba, NFS, FTP und Co.
Antworten
Shadow27374
Beiträge: 6
Registriert: 13.10.2017 10:33:34

Samba 4.5.12-Debian Rechtevergabe

Beitrag von Shadow27374 » 13.10.2017 10:38:22

Hallo zusammen,

wir hatten intern einen Dateiserver mit SerNet-Samba 3.5 und einer Authentifizierung am Active Directory. Das ganze habe ich auf das "original" Samba mit der Version 4.5.12 unter Debian 9.2 aktualisiert.

Dadurch waren die Freigaben erstmal nicht mehr erreichbar, die Authentifizierung funktionierte nicht mehr korrekt. Nach vielem hin und her mit Kerberos und Winbind kam ich leider nicht wieder zum alten Ergebnis. Mit wbinfo -u kann ich mir jedoch alle Benutzer der Domaine anzeigen lassen.

Damit die Kollegen wenigstens wieder arbeiten können, habe ich in der smb.conf auf "security = user" umgestellt und entsprechend per smbpasswd die Sambabenutzer angelegt. Grundsätzlich kann so wieder gearbeitet werden, es bestehen jedoch Rechteprobleme an einigen Stellen die ich mir bislang nicht erklären kann.

Beispiel an zwei Freigaben:

Code: Alles auswählen

[Datentausch_GL]
comment = Datenaustausch GL
path = /daten/Datentausch_GL
case sensitive = Yes
strict locking = No
create mask = 0660
directory mask = 0770
force group = www-data
force user = www-data
hosts allow = 192.168.67.0/255.255.255.0 172.25.25.0/255.255.255.0
read only = No
valid users = @verwaltung @projektleiter @GL @EDV
Dateisystemrechte von /daten/Datentausch_GL: drwxrwxr-x

Code: Alles auswählen

[Fertigung]
comment = Fertigung
path = /daten/Fertigung
read only = No
valid users = @laboranten @projektleiter @verwaltung
Dateisystemrechte von /daten/Fertigung: drwxrwxrwx

Diese Freigaben stammen noch aus der vorherigen Version und haben dort korrekt funktioniert.

Mein eigener Benutzeraccount befindet sich in der Gruppe "EDV" und "verwaltung". Somit kann ich auf beide Freigaben zugreifen, schreiben, etc. Dies gilt jedoch nicht für meinen Testbenutzer "test", der momentan in der Gruppe "projektleiter" sitzt. Andere Nutzer innerhalb einer dieser Gruppen können auch nicht mehr auf Fertigung zugreifen, bis ich die Benutzer direkt unter valid users packe. Schreiben können sie dann erst mit den Dateisystemrechten drwxrwxrwx, das war ursprünglich drwxrwx---

Wenn ich den Testbenutzer statt in die Gruppe "projektleiter" in die Gruppe "EDV" packe, funktioniert der Zugriff. Ist er jedoch nur in einer der anderen kommt:

smbclient //localhost/Datentausch_GL
tree connect failed: NT_STATUS_ACCESS_DENIED

Ich habe auch schon versucht mit webmin Samba-Gruppen zu erstellen die dann (so verstehe ich das) auf die Linuxgruppen "zeigen". Leider ebenfalls ohne Erfolg.

Obwohl gewissen Gruppen zugriffsberechtig sind, sind die es nicht.

Kann mir hier jemand auf die Sprünge helfen?

Benutzeravatar
weshalb
Beiträge: 592
Registriert: 16.05.2012 14:19:49

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von weshalb » 13.10.2017 17:06:44

Ich würde erstmal ganz von vorne durchgehen:
  • Den Ordnern die entsprechenden Gruppen und die Rechte zuteilen.
Beispiel :

Code: Alles auswählen

chown root:edv /daten/Datentausch_GL

Code: Alles auswählen

chmod 2770 /daten/Datentausch_GL
  • Dann die SambaBenutzer, die sich auch auf dem System als Unix-User befinden sollten, den jeweiligen Gruppen zuordnen

Code: Alles auswählen

gpasswd -a USER GRUPPE
  • In der smb.conf den Eintrag so ergänzen

Code: Alles auswählen

[Datentausch_GL]
comment = Datenaustausch GL
path = /daten/Datentausch_GL
case sensitive = Yes
strict locking = No
create mode = 0770
create mask = 0770
force directory mode = 0770
directory mask = 0770
force group = edv
hosts allow = 192.168.67.0/255.255.255.0 172.25.25.0/255.255.255.0
read only = No
Nun sollten alle Sambabenutzer, die in der Gruppe EDV sind, den Ordner /daten/Datentausch_GL nutzen können.

Ein Restart des smb service nicht vergessen.

Shadow27374
Beiträge: 6
Registriert: 13.10.2017 10:33:34

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von Shadow27374 » 16.10.2017 10:49:20

Hallo,

habe das ganze nun einmal mit dem Datentausch durchgespielt. Habe statt EDV direkt projektleiter als Gruppe verwendet und meinen Testbenutzer "test" per gpasswd in die Gruppe projektleiter gepackt.
Da das offensichtlich funktioniert hat, wollte ich das direkt im Anschluss mit Fertigung machen.

Code: Alles auswählen

chown root:verwaltung /daten/Fertigung

Code: Alles auswählen

chmod 2770 /daten/Fertigung

Code: Alles auswählen

gpasswd -a test projektleiter
Zugriff ist aber leider nur möglich wenn der Benutzer "test" in der Gruppe "verwaltung" ist. Obwohl die Gruppe "projektleiter" ebenfalls das Recht haben müsste:

Code: Alles auswählen

[Fertigung]
        path = /daten/Fertigung
        valid users = @laboranten,@projektleiter,@verwaltung
        writeable = yes
        comment = Fertigung

Benutzeravatar
weshalb
Beiträge: 592
Registriert: 16.05.2012 14:19:49

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von weshalb » 16.10.2017 14:35:14

Was macht das denn für einen Sinn?

Ich würde x Gruppen für x Ordner erstellen und, wobei ich dann die User bequem auf die Gruppen aufteile.

Beispiel:

Testordner 1> User A, B, C, D sollen Zugriff haben. Also erstelle ich eine Gruppe Testordner 1 und füge alle Benutzer hinzu
Testordner 2> User B, D sollen nur Zugriff haben. Also erstelle ich eine Grupper Testordner 2 und füge nur User B und D zu. User A und C bleiben also draußen
Testordner 3> User A, B, C sollen nur Zugriff haben. Also erstelle ich eine Grupper Testordner 3 und füge nur User A, B und C zu. Nur User D bleibt somit draußen

usw.usw.

Shadow27374
Beiträge: 6
Registriert: 13.10.2017 10:33:34

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von Shadow27374 » 16.10.2017 15:07:17

Das war vorher so mit Samba 3.5 realisiert und hatte funktioniert. Denn sonst müssten viele Benutzer in viele verschiedene Gruppen. Zur Not werde ich es aber wohl so machen (müssen).
Habe nun mal ein wenig mit ACLs gearbeitet und hatte damit auch teilweise Erfolg.

Code: Alles auswählen

drwxrws---+  59 root     verwaltung    4,0K Okt 16 12:04 Fertigung
Mein Benutzer "Test" darf nun auf Fertigung zugreifen. Denn er ist in der Gruppe "projektleiter".

Code: Alles auswählen

setfacl -R -m g:projektleiter:rwx /daten/Fertigung/
Das ganze sollte auch mit Benutzern in der Gruppe "laboranten" funktionieren

Code: Alles auswählen

getfacl /daten/Fertigung
getfacl: Entferne führende '/' von absoluten Pfadnamen
# file: daten/Fertigung
# owner: root
# group: verwaltung
# flags: -s-
user::rwx
group::rwx
group:verwaltung:rwx
group:projektleiter:rwx
group:laboranten:rwx
mask::rwx
other::---
Nun konnte sich eine Benutzerinn trotz Mitgliedschaft in "laboranten" nicht mehr auf Fertigung einloggen. Erst wieder als ich sie direkt unter valid user gesetzt hatte, was ich eigentlich vermeiden möchte.

Edit:
Habe Fertigung nun der Gruppe fertigung zugeteilt.

Code: Alles auswählen

drwxrws---+  59 root     fertigung     4,0K Okt 16 16:21 Fertigung
Die ACLs habe ich wieder gelöscht und dennoch kann jeder auf Fertigung zugreifen.

Benutzeravatar
weshalb
Beiträge: 592
Registriert: 16.05.2012 14:19:49

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von weshalb » 16.10.2017 16:59:14

Denn sonst müssten viele Benutzer in viele verschiedene Gruppen.
Muss ja ne Riesenfirma sein, wenn du das seit Threaderstellung bis heute nicht so gelöst bekommst.

Bei ACL musst du übrigens noch wegen der Sicherung darauf achten, dass nach dem Anlegen eines Backups die Rechte wieder stimmen.

Shadow27374
Beiträge: 6
Registriert: 13.10.2017 10:33:34

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von Shadow27374 » 16.10.2017 18:08:12

So groß ist die nun nicht, hilft aber nicht wenn die vergebenen Gruppenrechte nicht greifen.

Ich hatte nun schließlich "Fertigung" der Gruppe "fertigung" zugeordnet und die Rechte sind rwxrwx---. Wenn ich meinen Testbenutzer aus allen Gruppen bis auf "user" rauswerfe, kommt er trotzdem noch auf Fertigung. Dieses Mal also zu viele Rechte. :/

Benutzeravatar
weshalb
Beiträge: 592
Registriert: 16.05.2012 14:19:49

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von weshalb » 17.10.2017 09:01:52

Vielleicht solltest du nach deinen ganzen Experimenten die Rechte an den Ordnern und Dateien erstmal wieder richtig setzen.
Als nächstes solltest du die Gruppenzugehörigkeiten der einzelnen User und die smb.conf nochmals überprüfen bzw. neu anlegen.

Shadow27374
Beiträge: 6
Registriert: 13.10.2017 10:33:34

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von Shadow27374 » 17.10.2017 12:59:24

Heute Morgen habe ich mich um einen anderen Ordner gekümmert dessen Rechte auch überhaupt nicht funktioniert hatten.
Auch die Gruppe zu löschen und neu zu erstellen half nicht. Erst eine ganz neue Gruppe mit neuem Namen und denselben Mitgliedern funktioniert.

Ich habe das Gefühl, Debian wirft da was mit den Benutzern und Gruppen durcheinander. Kann man das irgendwie kontrollieren?

Benutzeravatar
weshalb
Beiträge: 592
Registriert: 16.05.2012 14:19:49

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von weshalb » 17.10.2017 13:42:28

Mal ins Blaue geraten.
Kurze Syntaxbeschreibung für die Verwendung in der Shell [1]:

groupdel GRUPPE

Das groupdel-Kommando löscht alle Einträge aus den Systemkonten Dateien, die sich auf GRUPPE beziehen. Die angegebene Gruppe muss existieren, und es darf kein Benutzer bestehen, für den diese Gruppe die primäre ist.
https://wiki.ubuntuusers.de/groupdel/

Shadow27374
Beiträge: 6
Registriert: 13.10.2017 10:33:34

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von Shadow27374 » 17.10.2017 15:33:06

Ja genau, mit groupdel habe ich die Gruppe gelöscht und mit groudadd wieder angelegt, ohne Erfolg. Eine neue Gruppe unter neuem Namen tuts hingegen.

Antworten