Samba Rechte
Samba Rechte
Hallo miteinander,
ich komme mit der Suche nicht mehr weiter. Habe einen Samba Server installiert und scheitere an die Rechtevergabe.
Ich möchte folgende Berechtungen bzw. Freigaben realisieren:
Die Ordner User1, User2, User3 und Austausch dürfen zwar unter Daten sichtbar sein, aber der Zugriff darf nur entsprechend den folgenden Vorgaben gewährt werden. Die darin befindlichen Dateien und Unterordner soll vererbt werden.
Übergeaordneten Order den alle User sehen können:
/var/storage/daten
Auf diesem Ordner soll nur User1 zugreifen:
/var/storage/daten/User1
Auf diesem Ordner soll User1 und User2 zugreifen:
/var/storage/daten/User2
Auf diesem Ordner soll User1 und User3 zugreifen:
/var/storage/daten/User3
Auf diesem Ordner soll User1 und User2 und User3 zugreifen:
/var/storage/daten/Austausch
Media auf den alle im eigenen Netzwerk zugreifen können:
/var/storage/media
Habe verstanden, dass es Rechte im Samba gibt und im Linux. Bekomme diese Einstellungen aber nichts so realisiert, wie oben beschrieben.
ich komme mit der Suche nicht mehr weiter. Habe einen Samba Server installiert und scheitere an die Rechtevergabe.
Ich möchte folgende Berechtungen bzw. Freigaben realisieren:
Die Ordner User1, User2, User3 und Austausch dürfen zwar unter Daten sichtbar sein, aber der Zugriff darf nur entsprechend den folgenden Vorgaben gewährt werden. Die darin befindlichen Dateien und Unterordner soll vererbt werden.
Übergeaordneten Order den alle User sehen können:
/var/storage/daten
Auf diesem Ordner soll nur User1 zugreifen:
/var/storage/daten/User1
Auf diesem Ordner soll User1 und User2 zugreifen:
/var/storage/daten/User2
Auf diesem Ordner soll User1 und User3 zugreifen:
/var/storage/daten/User3
Auf diesem Ordner soll User1 und User2 und User3 zugreifen:
/var/storage/daten/Austausch
Media auf den alle im eigenen Netzwerk zugreifen können:
/var/storage/media
Habe verstanden, dass es Rechte im Samba gibt und im Linux. Bekomme diese Einstellungen aber nichts so realisiert, wie oben beschrieben.
Re: Samba Rechte
Ja, ich weiss, dass ist zunächst mal ein wenig gewöhnungsbedürftig und hat wenig gemein mit dem, was man von Windows kennt. Ich versuchs mal auf ein paar wichtige Punkte zu reduzieren:
Dann in der fstab:
Auf dem Linux-Client-PC führt nun der Befehl...
...dazu, dass mit den passenden User-Rechten das passende Datenverzeichnis vom Samba-Server ins passende lokale Home-Dir gemountet wird. Das funktioniert aber nur, wenn jeder User eine eigene smbcredentials hat und es muss nach der Anmeldung, jedoch mit root-Rechten durchgeführt werden. Dabei gibt es jetzt nur noch den Konflikt, dass in diversen GUI-Apps (Filemanager) wg. der Parameter uid + gid die Rechte pauschal für den User mit der UID 1000 angezeigt werden. Wenn man das nicht will, muss man beim Mount die tatsächlichen Werte des Users angeben, der das mounten und sehen soll.
Ich habe genau dieses Problem gelöst und beschrieben... das ist aber schon einigermaßen harter Tobak und nicht unbedingt anfängertauglich. Für mich war die User-Bezogene Anwendung von Share-Rechten eine Grundvoraussetzung in unserem Netz... mit der fstab oder mount-units wird das aber nicht ordentlich unterstützt... mit wechselnden WLAN-Verbindungen auch nicht. Wenn es Dich interessiert, kann ich dir nen Link mailen.
- Linux ist nicht Windows.... vergebene Rechte werden bei normaler Linux-Client-Sambaserver-Konstellation NICHT zwischen Client-PC und Samba-Server synchronisiert
- Der Linux-Client-PC hat ein eigenes Rechte-System welches auf die lokalen User für lokale Dateien angewandt wird
- Der Linux-Server hat ein eigenes Rechte-System welches auf dessen lokalen User für dessen lokale Dateien angewandt wird
- Das auf dem Linux-Server laufende Samba hat ein eigenes Rechtesystem, dessen Rechte auf die Freigaben angewandt wird, aber immer nur unterhalb der Linux-Rechte, niemals oberhalb
- Auf dem Linux-Client werden für den gemounteten Samba-Share immer die Rechte des Users angewandt, der den Share gemountet hat. Das bedeutet, wenn der Mount beim Booten in der fstab oder via mount-units durchgeführt wird, ist das unabhängig von der späteren Anmeldung eines User im Anmeldeschirm. Die Daten in den Shares gehören als Eigentümer üblicherweiser dem, der in der fstab oder der mount-unit eingetragen ist.
- Wenn der Mount auf dem Client beim Systemstart durchgeführt wird, ist das eh immer derselbe User, also braucht man auf dem Samba-Server auch nur diesen einen Linux-Server-User als Sambauser einrichten.
- Wenn Du User-Individiduelle Rechte und User-Individuelle Mounts durchführen willst, muss der Mount selber den passenden Samba-User + PWD übergeben.
- Auf dem Linux/Samba-Server gibt es also die Linux-User und die Samba-User. Jeder Linux-User kann auch Samba-User sein, aber ohne Linux-User ist kein Samba-User möglich
- Ich halte es für empfehlenswert, die Passwörter zu synchronisieren. Also Client-Linux, Server-Linux und Samba = einheitliches Password für einen User
- Achtung: Die User-IDs zwischen Linux-Server und Client-PC sind trotz gleichem User wahrscheinlich unterschiedlich. Das ist wichtig zu wissen, weil das primäre Linux-Merkmal für Rechte die User-ID ist.... der Name ist quasi nur ein Alias. Das bedeutet, meine (!) Datei auf dem Server kann mir mit der UID 1002 gehören, aber auf meinem PC habe ich als exklusiver User die UID 1000. Das macht es so schwer, das zu syncen. Aber das ist nicht inkompatibel zur grundsätzlichen technischen Lösbarkeit, sondern meistens nur zur von Windows gewohnten Erwartungshaltung. Wenn mans verstanden hat, ist Linux und Samba ein geniales "Team".
...aber je nach Anspruch nicht unbedingt einfach. Und zwar in dem man auf dem Server die jeweiligen Verzeichnisse ins jeweilige Homedir der User binded:SeaSide hat geschrieben:11.03.2019 19:50:43Auf diesem Ordner soll nur User1 zugreifen:
/var/storage/daten/User1
Auf diesem Ordner soll User1 und User2 zugreifen:
/var/storage/daten/User2
Auf diesem Ordner soll User1 und User3 zugreifen:
/var/storage/daten/User3
Code: Alles auswählen
mkdir /home/User1/Daten
mkdir /home/User2/Daten
mkdir /home/User3/Daten
Code: Alles auswählen
/var/storage/daten/User1 /home/User1/Daten none bind
/var/storage/daten/User2 /home/User2/Daten none bind
/var/storage/daten/User3 /home/User3/Daten none bind
Code: Alles auswählen
mount //1.1.1.2/homes/Daten /home/$USER/Daten -t cifs -o credentials=/home/$USER/.smbcredentials,uid=1000,gid=1000,rw,noauto,nosuid,nodev,nouser,async"
Ich habe genau dieses Problem gelöst und beschrieben... das ist aber schon einigermaßen harter Tobak und nicht unbedingt anfängertauglich. Für mich war die User-Bezogene Anwendung von Share-Rechten eine Grundvoraussetzung in unserem Netz... mit der fstab oder mount-units wird das aber nicht ordentlich unterstützt... mit wechselnden WLAN-Verbindungen auch nicht. Wenn es Dich interessiert, kann ich dir nen Link mailen.
Zuletzt geändert von TomL am 11.03.2019 21:05:32, insgesamt 2-mal geändert.
Re: Samba Rechte
@weshalb
Das löst aber leider nur die Server-Seite und betrachtet nicht den Umstand, "wer" mountet, um dann dessen individuelle Rechte zu setzen. Und mit ACL habe ich persönlich schlechte Erfahrungen gemacht, weil teilweise die Rechte unerwünschterweise mitkopiert und behalten wurden, trotz eigentlich einer Eigentumsübergabe im neuen Verzeichnis. Ich würde einem Anfänger ACL-Rechte erst mal nicht empfehlen. Das Problem damit ist, dass man damit 2 konkurrierende Rechte-Systeme hat, denn das originäre Rechte-System lebt ja weiter. Und leider zeigen die Filemanager zum einen ACL-Rechte nicht an, zum zweiten weiss man nicht, ob ein Filemanger mit oder ohne kopiert.
Ich würde ACL deshalb heute nur noch in statischen den Usern zugewiesenen Bereichen verwenden, wo Dateien einmalig angelegt werden und immer dort verbleiben.. so typische Büro-Abteilungs oder Team-Ordner. Sobald Dateien verschoben werden, besteht imho eine hohe Gefahr, dass danach (meistens unentdeckt) die falschen ACL-Rechte gesetzt sind. Bei mir war der Effekt nach längerer Zeit ein unüberschaubares Rechte-Chaos. Ich persönlich komme deutlich besser allein mit Linux-Rechten klar.
Das löst aber leider nur die Server-Seite und betrachtet nicht den Umstand, "wer" mountet, um dann dessen individuelle Rechte zu setzen. Und mit ACL habe ich persönlich schlechte Erfahrungen gemacht, weil teilweise die Rechte unerwünschterweise mitkopiert und behalten wurden, trotz eigentlich einer Eigentumsübergabe im neuen Verzeichnis. Ich würde einem Anfänger ACL-Rechte erst mal nicht empfehlen. Das Problem damit ist, dass man damit 2 konkurrierende Rechte-Systeme hat, denn das originäre Rechte-System lebt ja weiter. Und leider zeigen die Filemanager zum einen ACL-Rechte nicht an, zum zweiten weiss man nicht, ob ein Filemanger mit oder ohne kopiert.
Ich würde ACL deshalb heute nur noch in statischen den Usern zugewiesenen Bereichen verwenden, wo Dateien einmalig angelegt werden und immer dort verbleiben.. so typische Büro-Abteilungs oder Team-Ordner. Sobald Dateien verschoben werden, besteht imho eine hohe Gefahr, dass danach (meistens unentdeckt) die falschen ACL-Rechte gesetzt sind. Bei mir war der Effekt nach längerer Zeit ein unüberschaubares Rechte-Chaos. Ich persönlich komme deutlich besser allein mit Linux-Rechten klar.
Re: Samba Rechte
Oh ha, dass ist ja mächtig kompliziert mit dem Rechtesystem.
Ich hatte gerade eine andere Idee. Habe mir Nextcloud aufgesetzt zu dem man sich auch per Netzwerklaufwerk verbinden kann. Nextcloud kann auch noch viel mehr als Daten verwalten. Interessant ist es schon, da man seine Daten dann auch extern im Zugriff hätte.
Meine Fragen: Kann es sinnvoll sein, das eigene umfassende Datensystem aus 300GB in die eigene Nextcloud zu traverieren? Gibt es Sicherheitsbedenken, wenn man FailToBan und UFW nutzen würde?
Ich hatte gerade eine andere Idee. Habe mir Nextcloud aufgesetzt zu dem man sich auch per Netzwerklaufwerk verbinden kann. Nextcloud kann auch noch viel mehr als Daten verwalten. Interessant ist es schon, da man seine Daten dann auch extern im Zugriff hätte.
Meine Fragen: Kann es sinnvoll sein, das eigene umfassende Datensystem aus 300GB in die eigene Nextcloud zu traverieren? Gibt es Sicherheitsbedenken, wenn man FailToBan und UFW nutzen würde?
Re: Samba Rechte
Wenn Du mich fragst, ja, sogar sehr große. Ich halte von der UFW gar nichts, sie macht das Paketfilter-Regelwerk völlig unübersichtlich und unkontrollierbar. Meines Erachtens installiert man damit eine Firewall, wo man sich einfach darauf verlässt "die wird's schon richten". Fakt ist, wenn Du es kontrollieren könntest, was sie da tut, würdest Du sie nicht verwenden, weil Du Dir mit den Kenntnissen stattdessen einfach ein eigenes optimales und maßgeschneidertes Regelwerk erstellen könntest und würdest. Und wenn Du all das könntest, würdest Du nftables verwenden und damit fail2ban überflüssig machen.SeaSide hat geschrieben:12.03.2019 18:50:45Gibt es Sicherheitsbedenken, wenn man FailToBan und UFW nutzen würde?
Darüber hinaus kommt hinzu, dass die meisten Leute eine völlig falsche Vorstellung von einer Firewall haben.... zumindest dann, wenn es sowas wie eine Desktop-Firewall ist, wie man sie von Windows kennt. Ich halte eine solche FW für ein reines Placebo, zumal sowieso der DSL-Router eine rudimentäre FW für eingehenden Traffic hat. Und wenn es auf einem definierten Port erlaubten Traffic geben soll, wird es auf diesem Port auch erlaubten Traffic von unbekannten Besuchern geben. Der FW ist es egal, ob das Paket einen bekannten Versender hat oder nicht, sie lässt es durch. Das bedeutet, die empfangenden Dienste müssen absolut sicher konfiguriert sein. Und wenn das schon am einfachsten Punkt schwierig wird, dem Linux-Rechtesystem, kann ich Dir nur raten, nur lokalen bzw. LAN-internen Traffic zuzulassen.... dann brauchst Du auch keine UFW.
Fazit: Auf dem Level kann ich Dir nur raten, nextcloud keinesfalls zum Internet zu öffnen..... aber dem muss man natürlich nicht folgen.... und vielleicht korrigiert mich ja hier noch der eine oder andere. BTW... ich weiss nicht, ob ich das darf, ich tu's einfach mal.... ein Verweis auf ein anderes Forum. Dort hatte ich vor längerem mal ein 'danach oben angepinntes' Posting geschrieben. Ich denke, das passt immer noch.... gucksdu
Re: Samba Rechte
Vielen Dank TomL für deine Info.
Deinen Ausführungen folgernd sollten dann über 90% aller NextCloud Installationen unsicher sein. Wer nutzt denn wirklich nftables. Installationen auf Windows werden diesen Sicherheitsumfang auch nur selten haben.
Ich kenne die nftables oder eine ähnliche Form von einem Ubiquiti Network Router. Das Thema ist kompkex. Unter Linux erst recht. Nur steht die Frage im Raum ob nicht doch ufw und failtoban eine annähernde Sicherheit gewährleisten.
An dieser Stelle würde mich auch die Performance bzgl. großer Datenmengen in der Cloud interessieren. Hat dazu jemand Erfahrungen?
Deinen Ausführungen folgernd sollten dann über 90% aller NextCloud Installationen unsicher sein. Wer nutzt denn wirklich nftables. Installationen auf Windows werden diesen Sicherheitsumfang auch nur selten haben.
Ich kenne die nftables oder eine ähnliche Form von einem Ubiquiti Network Router. Das Thema ist kompkex. Unter Linux erst recht. Nur steht die Frage im Raum ob nicht doch ufw und failtoban eine annähernde Sicherheit gewährleisten.
An dieser Stelle würde mich auch die Performance bzgl. großer Datenmengen in der Cloud interessieren. Hat dazu jemand Erfahrungen?
Re: Samba Rechte
Also ich weiß jetzt nicht genau, doch ich habe das ganz normal umgesetzt. Ordnern die Rechte vergeben (Austausch z.B. die 2770), User und Gruppen angelegt und habe jetzt genau das, was ich da rauslese.
Kann sein, dass ich in der SMB etwas zuviel habe (addgroup). Bei mir funktioniert alles ohne Probleme, es sei denn, in Austausch sollen nochmal eigene Userrechte gelten.
Alle User können in den Ordner Daten, doch von da aus kann nur der
User1 in Ordner>User1, User2, User3 und Austausch
User2 kann nur in den Ordner User2 und Austausch
User3 kann nur in den Ordner User3 und Austausch
Kann sein, dass ich in der SMB etwas zuviel habe (addgroup). Bei mir funktioniert alles ohne Probleme, es sei denn, in Austausch sollen nochmal eigene Userrechte gelten.
Alle User können in den Ordner Daten, doch von da aus kann nur der
User1 in Ordner>User1, User2, User3 und Austausch
User2 kann nur in den Ordner User2 und Austausch
User3 kann nur in den Ordner User3 und Austausch
Code: Alles auswählen
[daten]
comment = daten
path = /home/daten
writable = yes
guest ok = no
read only = no
browsable = no
valid users = @user1,@user2,@user3
force group = u123
create mask = 0770
force create mode = 0770
directory mask = 0770
force directory mode = 0770
[user1]
comment = user1
path = /home/daten/user1
writable = yes
guest ok = no
read only = no
browsable = no
valid users = @user1
create mask = 0770
force create mode = 0770
directory mask = 0770
force directory mode = 0770
[user2]
comment = user2
path = /home/daten/user2
guest ok = no
read only = no
browsable = no
valid users = @user1, @user2
addgroup = u12
create mask = 0770
force create mode = 0770
directory mask = 0770
force directory mode = 0770
[user3]
comment = user3
path = /home/daten/user3
writable = yes
guest ok = no
read only = no
browsable = no
valid users = @user1,@user3
addgroup = u13
create mask = 0770
force create mode = 0770
directory mask = 0770
force directory mode = 0770
[austausch]
comment = austausch
path = /home/daten/austausch
writable = yes
guest ok = no
read only = no
browsable = no
valid users = @user1,@user2,@user3
force group = u123
create mask = 0770
force create mode = 0770
directory mask = 0770
force directory mode = 0770
Re: Samba Rechte
Nein, nicht aller, sondern 100% der nextcloud-Installationen, die ohne ausreichende Sachkentnis durchgeführt wurden. Welchen Anteil das an allen Installationen hat, weiss ich nicht. Und ich weiss auch nicht, ob das immer negative Konsequenzen hat. Wenn nicht, hat das jedenfalls nichts oder nur rudimentär mit solchen Zusatz-Installationen wie UFW oder fail2ban zu tun, sondern ist vermutlich ein zufälliger Umstand.SeaSide hat geschrieben:12.03.2019 20:53:17Deinen Ausführungen folgernd sollten dann über 90% aller NextCloud Installationen unsicher sein.
Machs einfach.... Dir muss nur klar sein, dass Du nicht ausschließen kannst, dass niemand anderes Deine Hardware kontrolliert. Möglicherweise völlig unbemerkt, von Dir nicht feststellbar, vielleicht sogar ohne Dir offensichtlich Schaden zuzufügen. Wenn das für Dich ok ist, machs einfach.
Zuletzt geändert von TomL am 12.03.2019 21:11:34, insgesamt 1-mal geändert.
Re: Samba Rechte
Ich denke, das funktioniert. Mich interessiert dabei aber noch etwas: Wie finden die Mounts auf den Clients statt? Vorbeugend immer alle Shares für alle User in der fstab? Oder über mount-units? Oder nur selektiv nach der Anmeldung eines Users? Jeder Share mit eigenen User-smbcredentials? Wie ist das bei mobilen Laptops geregelt, die u.U. an fremden Netzen nicht den passenden Server finden? Das gibts hier bei mir auch noch. Ich bin selber auch noch immer an besseren Lösungen interessiert.weshalb hat geschrieben:12.03.2019 20:55:35Also ich weiß jetzt nicht genau, doch ich habe das ganz normal umgesetzt. Ordnern die Rechte vergeben (Austausch z.B. die 2770), User und Gruppen angelegt und habe jetzt genau das, was ich da rauslese.
Re: Samba Rechte
Ich haben mir deine externen Forenbeitrag einmal angeschaut.
Ein unerfahrener Benutzer bin ich nicht. Ich schaue schon genau hin und weiß um die Gefahren. Natürlich gibt es immer welche die es besser können. Aber angefangen haben sie alle einmal - auch du. Jeder lernt dazu. Wenn man meint, dass man ein Punkt erreicht, dass es funktionieren könnte, dann macht man es. Die Probleme liegen aber nicht nur in der Konfiguration der Systeme sondern auch in Fehlern bei der Programmierung der Module bzw. der Software. Diese Löcher werden häufig ausgenutzt und dafür kann ein Otto-Normal-Admin nicht machen.
Abgesehen davon sind nicht nur die "kleinen" Netze vermeintlich unsicher. Es sind insbesondere auch die großen Netze wie man immer wieder in den Medien vernehmen muss. Die vermeitlichen Spezialisten sind auch nur Menschen und vergessen dann auch mal "Kleinigkeiten" und upps, da ist das Problem, dass Millionen User aus deren Netzen bloßgestellt sind.
Wenn man vom Internet sicher sein will, dann zieht man den Netzwerkstecker. Eine absolute Sicherheit gibt es einfach nicht. Das ist immer ein Prozess des Auschließens von Risiken. Das Restrisiko bleibt.
Ein unerfahrener Benutzer bin ich nicht. Ich schaue schon genau hin und weiß um die Gefahren. Natürlich gibt es immer welche die es besser können. Aber angefangen haben sie alle einmal - auch du. Jeder lernt dazu. Wenn man meint, dass man ein Punkt erreicht, dass es funktionieren könnte, dann macht man es. Die Probleme liegen aber nicht nur in der Konfiguration der Systeme sondern auch in Fehlern bei der Programmierung der Module bzw. der Software. Diese Löcher werden häufig ausgenutzt und dafür kann ein Otto-Normal-Admin nicht machen.
Abgesehen davon sind nicht nur die "kleinen" Netze vermeintlich unsicher. Es sind insbesondere auch die großen Netze wie man immer wieder in den Medien vernehmen muss. Die vermeitlichen Spezialisten sind auch nur Menschen und vergessen dann auch mal "Kleinigkeiten" und upps, da ist das Problem, dass Millionen User aus deren Netzen bloßgestellt sind.
Wenn man vom Internet sicher sein will, dann zieht man den Netzwerkstecker. Eine absolute Sicherheit gibt es einfach nicht. Das ist immer ein Prozess des Auschließens von Risiken. Das Restrisiko bleibt.
Re: Samba Rechte
Danke die "weshalb" für deine Mühe. Werde es in Kürze einmal Testen.
Re: Samba Rechte
Schau dir auch nochmal den Link von mir an, da ist das etwas ausführlicher erklärt. Eigentlich ganz easy.SeaSide hat geschrieben:12.03.2019 21:26:04Danke die "weshalb" für deine Mühe. Werde es in Kürze einmal Testen.
Also ich kann jetzt nur von den MS Büchsen sprechen, für die ich das ab und an umsetzen muss.TomL hat geschrieben:12.03.2019 21:10:09Ich denke, das funktioniert. Mich interessiert dabei aber noch etwas: Wie finden die Mounts auf den Clients statt? Vorbeugend immer alle Shares für alle User in der fstab? Oder über mount-units? Oder nur selektiv nach der Anmeldung eines Users? Jeder Share mit eigenen User-smbcredentials? Wie ist das bei mobilen Laptops geregelt, die u.U. an fremden Netzen nicht den passenden Server finden? Das gibts hier bei mir auch noch. Ich bin selber auch noch immer an besseren Lösungen interessiert.weshalb hat geschrieben:12.03.2019 20:55:35Also ich weiß jetzt nicht genau, doch ich habe das ganz normal umgesetzt. Ordnern die Rechte vergeben (Austausch z.B. die 2770), User und Gruppen angelegt und habe jetzt genau das, was ich da rauslese.
Da werden die Shares in der Praxis einzeln gemounted, beim Hochfahren geladen und die Anmeldedaten im System fest abgespeichert.
Re: Samba Rechte
@"weshalb"
Muss ich die Bindungen auf Serverebene denn durchführen, wenn ich die einzelnen Userordner als Owner der jeweiligen User belegt habe? Deine SMB config habe ich nachvollzogen, aber den Zugriff bekomme ich auf einem Window Client trotzdem nicht. Habe da wohl noch etwas bzgl. Linuxrechte falsch.
Ergänzung:
Sehe gerade, dass das Binden für fremde Partitionen ist. Bei Windows trifft das ja nicht zu. Daher habe ich wohl "nur" ein Problem mit dem Rechtesystem. Würdest du das Beispiel nochmals um die Unixrechte ergänzen? Irgendwo passt das bei mir noch nicht.
Macht es Sinn ACL einzusetzen?
Muss ich die Bindungen auf Serverebene denn durchführen, wenn ich die einzelnen Userordner als Owner der jeweiligen User belegt habe? Deine SMB config habe ich nachvollzogen, aber den Zugriff bekomme ich auf einem Window Client trotzdem nicht. Habe da wohl noch etwas bzgl. Linuxrechte falsch.
Ergänzung:
Sehe gerade, dass das Binden für fremde Partitionen ist. Bei Windows trifft das ja nicht zu. Daher habe ich wohl "nur" ein Problem mit dem Rechtesystem. Würdest du das Beispiel nochmals um die Unixrechte ergänzen? Irgendwo passt das bei mir noch nicht.
Macht es Sinn ACL einzusetzen?
Re: Samba Rechte
Also ich weiß nun nicht genau, was du meinst, doch wenn du mit den normalen Userrechten unter Linux nicht klar kommst, was soll dann erst mir ACL werden?
Ich erstelle Ordner, die bekommen entsprechende Rechte/Nutzer/Gruppen zugewiesen. Dann modifiziere ich die smbd.conf, starte Samba neu und das ware es eigentlich.
Unter Windows mounte ich das Laufwerk und gebe das Passwort des entsprechenden Nutzers ein.
Suche dir am Besten ein Howto aus dem Netz und arbeite Stück für Stück vor. Chmod und Chown sind die Befehle deiner ersten Wahl.
Beispiel
Nun sollten alle Sambabenutzer, die in der Gruppe EDV sind, den Ordner /daten/Datentausch_GL nutzen können.
Ein Restart des smb service nicht vergessen.
Ich erstelle Ordner, die bekommen entsprechende Rechte/Nutzer/Gruppen zugewiesen. Dann modifiziere ich die smbd.conf, starte Samba neu und das ware es eigentlich.
Unter Windows mounte ich das Laufwerk und gebe das Passwort des entsprechenden Nutzers ein.
Suche dir am Besten ein Howto aus dem Netz und arbeite Stück für Stück vor. Chmod und Chown sind die Befehle deiner ersten Wahl.
Beispiel
- Den Ordnern die entsprechenden Gruppen und die Rechte zuteilen.
Code: Alles auswählen
chown root:edv /daten/Datentausch_GL
Code: Alles auswählen
chmod 2770 /daten/Datentausch_GL
- Dann die SambaBenutzer, die sich auch auf dem System als Unix-User befinden sollten, den jeweiligen Gruppen zuordnen
Code: Alles auswählen
gpasswd -a USER GRUPPE
- In der smb.conf den Eintrag so ergänzen
Code: Alles auswählen
[Datentausch_GL]
comment = Datenaustausch GL
path = /daten/Datentausch_GL
case sensitive = Yes
strict locking = No
create mode = 0770
create mask = 0770
force directory mode = 0770
directory mask = 0770
force group = edv
hosts allow = 192.168.67.0/255.255.255.0 172.25.25.0/255.255.255.0
read only = No
Ein Restart des smb service nicht vergessen.
Re: Samba Rechte
Hallo "weshalb".
Ich habe die Samba Config genauso umgesetzt. Es kann nun nur noch an den Unixrechten liegen. Hatte mehrere varianten versucht. Alles freigeben bis jeden nutzerordner zu jedem Nutzer als Owner mit jeweiles vollen Einzelrechten. Trotzdem kann User3 auf beim Windowsmout auf alle Ordner zugreifen.
Ich habe die Samba Config genauso umgesetzt. Es kann nun nur noch an den Unixrechten liegen. Hatte mehrere varianten versucht. Alles freigeben bis jeden nutzerordner zu jedem Nutzer als Owner mit jeweiles vollen Einzelrechten. Trotzdem kann User3 auf beim Windowsmout auf alle Ordner zugreifen.
Re: Samba Rechte
Dann sind die Rechte oder auch die Gruppenzugehörigkeiten falsch vergeben.
https://blog.jonaspasche.com/2010/11/24 ... tevergabe/
Hast du denn die User einzeln angelegt und dann die Gruppen?
Der Ordner User3 sollte nur der Gruppe gehören, in der nur User1 und User3 Mitglied sind.
Der Ordner User2 sollte nur der Gruppe gehören, in der nur User1 und User2 Mitglied sind.
Der Ordner User1 sollte nur User1 gehören
Der Ordner Austausch sollte der Gruppe gehören, in der alle drei User Mitglied sind.
Als Beispiel für Ordner User2
User in Gruppen schupsen
Gruppe dem Ordner zuweisen
Rechte anpassen
smb.conf anpassen
https://blog.jonaspasche.com/2010/11/24 ... tevergabe/
Hast du denn die User einzeln angelegt und dann die Gruppen?
Der Ordner User3 sollte nur der Gruppe gehören, in der nur User1 und User3 Mitglied sind.
Der Ordner User2 sollte nur der Gruppe gehören, in der nur User1 und User2 Mitglied sind.
Der Ordner User1 sollte nur User1 gehören
Der Ordner Austausch sollte der Gruppe gehören, in der alle drei User Mitglied sind.
Als Beispiel für Ordner User2
User in Gruppen schupsen
Code: Alles auswählen
gpasswd -a user1 group12
gpasswd -a user2 group12
Code: Alles auswählen
chown root:group12 /home/daten/user2
Code: Alles auswählen
chmod 2770 /home/daten/user2
Code: Alles auswählen
[user2]
comment = user2
path = /home/daten/user2
guest ok = no
read only = no
browsable = no
writable = yes
valid users = @user1,@user2
force group = group12
create mask = 0770
force create mode = 0770
directory mask = 0770
force directory mode = 0770
Re: Samba Rechte
Hallo allesamt!
Ich habe (wenn ich mein problem richtig einschätze und diesen Thread verstanden habe) das gleiche oder ein ähnliches Problem wie der TE
Bei mir sind es SMB-Shares (?) auf einem FreeNAS-System, mehrere Computer (mit debian und win7) und eine unübersichtliche Benutzerkontenführung in meinem 1-Personen Haushalt. Ich habe z.B. 2 mal den selben Benutzernamen auf verschiedenen debian-systemen und einige "gast" bzw testuser.
Hinzu kommt noch das Wirwarr mit den UID und GID, den Dateirechten, Gruppen und dem mounten .
Hilfe!
Ich habe den Thread bisher nur überflogen und es scheint Lösungsansätze zu geben, die ich mir genauer anschauen muss (Tipps?).
Kompliziert ist das schon und man muss vom Anfang an einen Plan haben wie das ganze am Ende aussehen soll, sonst verzettelt man sich nur, oder? (gibt es vielleicht so etwas wie ein "Manifest" in dem erklärt wird wie man als Linuxanfänger sein Dateissytem und die Benutzerverwaltung nicht (aus versehen ) zerstört? So etwas wie ein "Knigge" mit guten etablierten Merksätzen und "Verhaltensregelen", die bei anwendung ein funktionierendes und skalierbares system ermöglichen? Derartiges zum Thema backup wäre auch super. Kennt ihr solche "Klassiker" der Linux-Howtos, die nicht die comandos, sondern das größere dahinterliegende Konzept erklären.
Edit: soeben habe ich in diesem Thread ( viewtopic.php?f=27&t=171790 ) einen Link gefunden.: (https://de.wikipedia.org/wiki/Filesyste ... y_Standard) sowas meine ich. Das ist zwar "nur" eine Wikipedia-seite, dafür aber eine ziemlich nützliche ( für den Linux- und Shell-Anfänger) Seite.
Ist das immer so kompliziert oder liegt das an Samba?
Auf der FreeNAS liegt noch etwas das "NFS" und "WebDAV" heißt. fahre ich vielleicht einfach besser, wenn ich das anstelle von SMB benutze?
Ich habe (wenn ich mein problem richtig einschätze und diesen Thread verstanden habe) das gleiche oder ein ähnliches Problem wie der TE
Bei mir sind es SMB-Shares (?) auf einem FreeNAS-System, mehrere Computer (mit debian und win7) und eine unübersichtliche Benutzerkontenführung in meinem 1-Personen Haushalt. Ich habe z.B. 2 mal den selben Benutzernamen auf verschiedenen debian-systemen und einige "gast" bzw testuser.
Hinzu kommt noch das Wirwarr mit den UID und GID, den Dateirechten, Gruppen und dem mounten .
Hilfe!
Ich habe den Thread bisher nur überflogen und es scheint Lösungsansätze zu geben, die ich mir genauer anschauen muss (Tipps?).
Kompliziert ist das schon und man muss vom Anfang an einen Plan haben wie das ganze am Ende aussehen soll, sonst verzettelt man sich nur, oder? (gibt es vielleicht so etwas wie ein "Manifest" in dem erklärt wird wie man als Linuxanfänger sein Dateissytem und die Benutzerverwaltung nicht (aus versehen ) zerstört? So etwas wie ein "Knigge" mit guten etablierten Merksätzen und "Verhaltensregelen", die bei anwendung ein funktionierendes und skalierbares system ermöglichen? Derartiges zum Thema backup wäre auch super. Kennt ihr solche "Klassiker" der Linux-Howtos, die nicht die comandos, sondern das größere dahinterliegende Konzept erklären.
Edit: soeben habe ich in diesem Thread ( viewtopic.php?f=27&t=171790 ) einen Link gefunden.: (https://de.wikipedia.org/wiki/Filesyste ... y_Standard) sowas meine ich. Das ist zwar "nur" eine Wikipedia-seite, dafür aber eine ziemlich nützliche ( für den Linux- und Shell-Anfänger) Seite.
Ist das immer so kompliziert oder liegt das an Samba?
Auf der FreeNAS liegt noch etwas das "NFS" und "WebDAV" heißt. fahre ich vielleicht einfach besser, wenn ich das anstelle von SMB benutze?
Hast du hier schon mal nachgeschaut?