Samba 4.5.12-Debian Rechtevergabe

Probleme mit Samba, NFS, FTP und Co.
Shadow27374
Beiträge: 22
Registriert: 13.10.2017 10:33:34

Samba 4.5.12-Debian Rechtevergabe

Beitrag von Shadow27374 » 13.10.2017 10:38:22

Hallo zusammen,

wir hatten intern einen Dateiserver mit SerNet-Samba 3.5 und einer Authentifizierung am Active Directory. Das ganze habe ich auf das "original" Samba mit der Version 4.5.12 unter Debian 9.2 aktualisiert.

Dadurch waren die Freigaben erstmal nicht mehr erreichbar, die Authentifizierung funktionierte nicht mehr korrekt. Nach vielem hin und her mit Kerberos und Winbind kam ich leider nicht wieder zum alten Ergebnis. Mit wbinfo -u kann ich mir jedoch alle Benutzer der Domaine anzeigen lassen.

Damit die Kollegen wenigstens wieder arbeiten können, habe ich in der smb.conf auf "security = user" umgestellt und entsprechend per smbpasswd die Sambabenutzer angelegt. Grundsätzlich kann so wieder gearbeitet werden, es bestehen jedoch Rechteprobleme an einigen Stellen die ich mir bislang nicht erklären kann.

Beispiel an zwei Freigaben:

Code: Alles auswählen

[Datentausch_GL]
comment = Datenaustausch GL
path = /daten/Datentausch_GL
case sensitive = Yes
strict locking = No
create mask = 0660
directory mask = 0770
force group = www-data
force user = www-data
hosts allow = 192.168.67.0/255.255.255.0 172.25.25.0/255.255.255.0
read only = No
valid users = @verwaltung @projektleiter @GL @EDV
Dateisystemrechte von /daten/Datentausch_GL: drwxrwxr-x

Code: Alles auswählen

[Fertigung]
comment = Fertigung
path = /daten/Fertigung
read only = No
valid users = @laboranten @projektleiter @verwaltung
Dateisystemrechte von /daten/Fertigung: drwxrwxrwx

Diese Freigaben stammen noch aus der vorherigen Version und haben dort korrekt funktioniert.

Mein eigener Benutzeraccount befindet sich in der Gruppe "EDV" und "verwaltung". Somit kann ich auf beide Freigaben zugreifen, schreiben, etc. Dies gilt jedoch nicht für meinen Testbenutzer "test", der momentan in der Gruppe "projektleiter" sitzt. Andere Nutzer innerhalb einer dieser Gruppen können auch nicht mehr auf Fertigung zugreifen, bis ich die Benutzer direkt unter valid users packe. Schreiben können sie dann erst mit den Dateisystemrechten drwxrwxrwx, das war ursprünglich drwxrwx---

Wenn ich den Testbenutzer statt in die Gruppe "projektleiter" in die Gruppe "EDV" packe, funktioniert der Zugriff. Ist er jedoch nur in einer der anderen kommt:

smbclient //localhost/Datentausch_GL
tree connect failed: NT_STATUS_ACCESS_DENIED

Ich habe auch schon versucht mit webmin Samba-Gruppen zu erstellen die dann (so verstehe ich das) auf die Linuxgruppen "zeigen". Leider ebenfalls ohne Erfolg.

Obwohl gewissen Gruppen zugriffsberechtig sind, sind die es nicht.

Kann mir hier jemand auf die Sprünge helfen?

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von weshalb » 13.10.2017 17:06:44

Ich würde erstmal ganz von vorne durchgehen:
  • Den Ordnern die entsprechenden Gruppen und die Rechte zuteilen.
Beispiel :

Code: Alles auswählen

chown root:edv /daten/Datentausch_GL

Code: Alles auswählen

chmod 2770 /daten/Datentausch_GL
  • Dann die SambaBenutzer, die sich auch auf dem System als Unix-User befinden sollten, den jeweiligen Gruppen zuordnen

Code: Alles auswählen

gpasswd -a USER GRUPPE
  • In der smb.conf den Eintrag so ergänzen

Code: Alles auswählen

[Datentausch_GL]
comment = Datenaustausch GL
path = /daten/Datentausch_GL
case sensitive = Yes
strict locking = No
create mode = 0770
create mask = 0770
force directory mode = 0770
directory mask = 0770
force group = edv
hosts allow = 192.168.67.0/255.255.255.0 172.25.25.0/255.255.255.0
read only = No
Nun sollten alle Sambabenutzer, die in der Gruppe EDV sind, den Ordner /daten/Datentausch_GL nutzen können.

Ein Restart des smb service nicht vergessen.

Shadow27374
Beiträge: 22
Registriert: 13.10.2017 10:33:34

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von Shadow27374 » 16.10.2017 10:49:20

Hallo,

habe das ganze nun einmal mit dem Datentausch durchgespielt. Habe statt EDV direkt projektleiter als Gruppe verwendet und meinen Testbenutzer "test" per gpasswd in die Gruppe projektleiter gepackt.
Da das offensichtlich funktioniert hat, wollte ich das direkt im Anschluss mit Fertigung machen.

Code: Alles auswählen

chown root:verwaltung /daten/Fertigung

Code: Alles auswählen

chmod 2770 /daten/Fertigung

Code: Alles auswählen

gpasswd -a test projektleiter
Zugriff ist aber leider nur möglich wenn der Benutzer "test" in der Gruppe "verwaltung" ist. Obwohl die Gruppe "projektleiter" ebenfalls das Recht haben müsste:

Code: Alles auswählen

[Fertigung]
        path = /daten/Fertigung
        valid users = @laboranten,@projektleiter,@verwaltung
        writeable = yes
        comment = Fertigung

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von weshalb » 16.10.2017 14:35:14

Was macht das denn für einen Sinn?

Ich würde x Gruppen für x Ordner erstellen und, wobei ich dann die User bequem auf die Gruppen aufteile.

Beispiel:

Testordner 1> User A, B, C, D sollen Zugriff haben. Also erstelle ich eine Gruppe Testordner 1 und füge alle Benutzer hinzu
Testordner 2> User B, D sollen nur Zugriff haben. Also erstelle ich eine Grupper Testordner 2 und füge nur User B und D zu. User A und C bleiben also draußen
Testordner 3> User A, B, C sollen nur Zugriff haben. Also erstelle ich eine Grupper Testordner 3 und füge nur User A, B und C zu. Nur User D bleibt somit draußen

usw.usw.

Shadow27374
Beiträge: 22
Registriert: 13.10.2017 10:33:34

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von Shadow27374 » 16.10.2017 15:07:17

Das war vorher so mit Samba 3.5 realisiert und hatte funktioniert. Denn sonst müssten viele Benutzer in viele verschiedene Gruppen. Zur Not werde ich es aber wohl so machen (müssen).
Habe nun mal ein wenig mit ACLs gearbeitet und hatte damit auch teilweise Erfolg.

Code: Alles auswählen

drwxrws---+  59 root     verwaltung    4,0K Okt 16 12:04 Fertigung
Mein Benutzer "Test" darf nun auf Fertigung zugreifen. Denn er ist in der Gruppe "projektleiter".

Code: Alles auswählen

setfacl -R -m g:projektleiter:rwx /daten/Fertigung/
Das ganze sollte auch mit Benutzern in der Gruppe "laboranten" funktionieren

Code: Alles auswählen

getfacl /daten/Fertigung
getfacl: Entferne führende '/' von absoluten Pfadnamen
# file: daten/Fertigung
# owner: root
# group: verwaltung
# flags: -s-
user::rwx
group::rwx
group:verwaltung:rwx
group:projektleiter:rwx
group:laboranten:rwx
mask::rwx
other::---
Nun konnte sich eine Benutzerinn trotz Mitgliedschaft in "laboranten" nicht mehr auf Fertigung einloggen. Erst wieder als ich sie direkt unter valid user gesetzt hatte, was ich eigentlich vermeiden möchte.

Edit:
Habe Fertigung nun der Gruppe fertigung zugeteilt.

Code: Alles auswählen

drwxrws---+  59 root     fertigung     4,0K Okt 16 16:21 Fertigung
Die ACLs habe ich wieder gelöscht und dennoch kann jeder auf Fertigung zugreifen.

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von weshalb » 16.10.2017 16:59:14

Denn sonst müssten viele Benutzer in viele verschiedene Gruppen.
Muss ja ne Riesenfirma sein, wenn du das seit Threaderstellung bis heute nicht so gelöst bekommst.

Bei ACL musst du übrigens noch wegen der Sicherung darauf achten, dass nach dem Anlegen eines Backups die Rechte wieder stimmen.

Shadow27374
Beiträge: 22
Registriert: 13.10.2017 10:33:34

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von Shadow27374 » 16.10.2017 18:08:12

So groß ist die nun nicht, hilft aber nicht wenn die vergebenen Gruppenrechte nicht greifen.

Ich hatte nun schließlich "Fertigung" der Gruppe "fertigung" zugeordnet und die Rechte sind rwxrwx---. Wenn ich meinen Testbenutzer aus allen Gruppen bis auf "user" rauswerfe, kommt er trotzdem noch auf Fertigung. Dieses Mal also zu viele Rechte. :/

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von weshalb » 17.10.2017 09:01:52

Vielleicht solltest du nach deinen ganzen Experimenten die Rechte an den Ordnern und Dateien erstmal wieder richtig setzen.
Als nächstes solltest du die Gruppenzugehörigkeiten der einzelnen User und die smb.conf nochmals überprüfen bzw. neu anlegen.

Shadow27374
Beiträge: 22
Registriert: 13.10.2017 10:33:34

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von Shadow27374 » 17.10.2017 12:59:24

Heute Morgen habe ich mich um einen anderen Ordner gekümmert dessen Rechte auch überhaupt nicht funktioniert hatten.
Auch die Gruppe zu löschen und neu zu erstellen half nicht. Erst eine ganz neue Gruppe mit neuem Namen und denselben Mitgliedern funktioniert.

Ich habe das Gefühl, Debian wirft da was mit den Benutzern und Gruppen durcheinander. Kann man das irgendwie kontrollieren?

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von weshalb » 17.10.2017 13:42:28

Mal ins Blaue geraten.
Kurze Syntaxbeschreibung für die Verwendung in der Shell [1]:

groupdel GRUPPE

Das groupdel-Kommando löscht alle Einträge aus den Systemkonten Dateien, die sich auf GRUPPE beziehen. Die angegebene Gruppe muss existieren, und es darf kein Benutzer bestehen, für den diese Gruppe die primäre ist.
https://wiki.ubuntuusers.de/groupdel/

Shadow27374
Beiträge: 22
Registriert: 13.10.2017 10:33:34

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von Shadow27374 » 17.10.2017 15:33:06

Ja genau, mit groupdel habe ich die Gruppe gelöscht und mit groudadd wieder angelegt, ohne Erfolg. Eine neue Gruppe unter neuem Namen tuts hingegen.

Shadow27374
Beiträge: 22
Registriert: 13.10.2017 10:33:34

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von Shadow27374 » 18.10.2017 15:35:19

Heute hatte ich dasselbe Spiel nochmal.

Gruppe "Diplomanden" hatte rwx auf /daten/Diplomanden. Zugriff war aber auch für Benutzer in "Diplomanden" nicht möglich.

Gruppe "Diplomanden" gelöscht
Gruppe "diplo" erstellt
Alle vorherigen Benutzer zur Gruppe "diplo" hinzugefügt
chown -R root:diplo /daten/Diplomanden/*

Dann ging es...

Da ist irgendwas mit den Gruppen verhunzt.

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von weshalb » 18.10.2017 15:59:50

Zeige mal bitte mit

Code: Alles auswählen

less /etc/group 
deine Gruppen und deren Zugehörigkeiten an.

Dann wäre es super, einfach mal deine smb.conf zu sehen und die Rechte auf den jeweiligen Ordnern.

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von weshalb » 18.10.2017 19:14:10

*Edit: Bezog sich auf dein inzwischen wieder gelöschten Post.

Und du kannst die Gruppe Diplomanden jetzt nicht mehr anlegen und Benutzer zuordnen? Hattest du dich nach dem Löschen der Gruppe mal neu an- und abgemeldet?

[Diplomanden]
directory mode = 770
writeable = yes
valid users = @diplo,@EDV
path = /daten/Diplomanden
force directory mode = 770
force group = diplo
force create mode = 770
create mode = 770
Das sieht eigentlich ganz gut aus. Jeder User der zugehörigen Gruppen diplo und EDV darf erstellen, bearbeiten und löschen, wobei die Gruppenzugehörigkeit bei diplo bleibt.


So sollte es dann bei den anderen Freigaben ebenfalls gemacht werden. Der Ordnung halber vielleicht auch mal alles in Reihenfolge bringen, man überliest bei großen Konfigdateien schnell etwas.
[Diplomanden]
comment = Diplomanden
path = /daten/Diplomanden
writeable = yes
force group = diplo
valid users = @diplo,@EDV
directory mode = 770
force directory mode = 770
force create mode = 770
create mode = 770

Benutzeravatar
habakug
Moderator
Beiträge: 4313
Registriert: 23.10.2004 13:08:41
Lizenz eigener Beiträge: MIT Lizenz

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von habakug » 20.10.2017 10:32:54

Hallo!

Oft wird vergessen den Share mit der Option "user_xattr" zu mounten. Wenn dann in der "[global]"-Sektion der smb.conf die Optionen "vfs objects = acl_xattr" und "map acl inherit = Yes" gesetzt sind, ziehen Optionen wie z.B. "force create mode" auch.

Gruss, habakug
( # = root | $ = user | !! = mod ) (Vor der PN) (Debianforum-Wiki) (NoPaste)

Shadow27374
Beiträge: 22
Registriert: 13.10.2017 10:33:34

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von Shadow27374 » 23.10.2017 12:41:32

Nun melde ich mich auch mal wieder zurück.
weshalb hat geschrieben: ↑ zum Beitrag ↑
18.10.2017 19:14:10
Und du kannst die Gruppe Diplomanden jetzt nicht mehr anlegen und Benutzer zuordnen? Hattest du dich nach dem Löschen der Gruppe mal neu an- und abgemeldet?
Anlegen schon, es hatte bei einer anderen Gruppe nur keinen Effekt. Deshalb hatte ich es hier direkt mit einer neuen Gruppe ausprobiert.

Vielleicht verstehe ich das Problem, wenn meine nächste streikende Freigabe wieder funktioniert.
Es geht um das Verzeichnis Sekretariat:

Code: Alles auswählen

drwxrwx---   62 root     leitung        12K Apr 25 12:49 Sekretariat
Mein Testnutzer "test" ist in der Gruppe leitung:

Code: Alles auswählen

id test
uid=1006(test) gid=1017(test) Gruppen=100(users),1119(fertigung),1001(leitung),1017(test)
Sambafreigabe:

Code: Alles auswählen

[Sekretariat]
	comment = Sekretariat
	path = /daten/Sekretariat
	valid users = @leitung,@EDV,@GL,@Bhaltung
	writeable = yes
	force create mode = 770
	create mode = 770
	force group = leitung
	force directory mode = 770
	directory mode = 770
Das sieht meiner Meinung nach gut aus, funktioniert aber leider nicht.

Ich habe den Benutzer "test" mehrfach vom Windowsclient ab- und angemeldet.
Unter Debian(Sambaserver) habe ich ihm die Möglichkeit gegeben sich an der Konsole anzumelden /bin/bash. Damit kann ich mich als "test" an- und abmelden.

Leider auch ohne Erfolg.
Samba wurde natürlich neugestartet.

Was habe ich übersehen?
habakug hat geschrieben: ↑ zum Beitrag ↑
20.10.2017 10:32:54
Oft wird vergessen den Share mit der Option "user_xattr" zu mounten. Wenn dann in der "[global]"-Sektion der smb.conf die Optionen "vfs objects = acl_xattr" und "map acl inherit = Yes" gesetzt sind, ziehen Optionen wie z.B. "force create mode" auch.
Habe ich nun ebenfalls eingetragen, auch in der fstab. Scheint sich nichts geändert zu haben.

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von weshalb » 24.10.2017 00:09:58

Shadow27374 hat geschrieben: ↑ zum Beitrag ↑
23.10.2017 12:41:32

Vielleicht verstehe ich das Problem, wenn meine nächste streikende Freigabe wieder funktioniert.
Es geht um das Verzeichnis Sekretariat:

Code: Alles auswählen

drwxrwx---   62 root     leitung        12K Apr 25 12:49 Sekretariat
Da gehört ja auch das hin:

Code: Alles auswählen

chmod 2770 /daten/Sekretariat
damit das rauskommt>
drwxrws---

Shadow27374
Beiträge: 22
Registriert: 13.10.2017 10:33:34

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von Shadow27374 » 24.10.2017 10:20:43

Das hatte ich tatsächlich übersehen. Leider hilft es alleine noch nicht.

Berechtigungen sind nun:

Code: Alles auswählen

drwxrws---   62 root     leitung        12K Apr 25 12:49 Sekretariat
Testnutzer:

Code: Alles auswählen

id test
uid=1006(test) gid=1017(test) Gruppen=100(users),1119(fertigung),1001(leitung),1017(test)
  • Samba Neustart
  • Login Windows 7 -> kein Zugriff
  • Logout aus Windows
  • Login auf Linuxkonsole mit Testnutzer
  • Logout aus Linuxkonsole
  • Login Windows 7 -> kein Zugriff

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von weshalb » 24.10.2017 10:49:24

Was heißt kein Zugriff, der User kann nicht schreiben? Was sagt denn dein Log vom Samba?

Edit:
Und schau gleich nochmal, ob du "Sekretariat" nicht doppelt irgendwo drin hast.

Shadow27374
Beiträge: 22
Registriert: 13.10.2017 10:33:34

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von Shadow27374 » 24.10.2017 11:07:21

Er hat überhaupt keinen Zugriff, d.h. er kann das Verzeichnis nicht einmal öffnen.

Code: Alles auswählen

[2017/10/24 11:04:45.498065,  2] ../source3/smbd/service.c:330(create_connection_session_info)
  user 'test' (from session setup) not permitted to access this share (Sekretariat)
[2017/10/24 11:04:45.498090,  1] ../source3/smbd/service.c:502(make_connection_snum)
  create_connection_session_info failed: NT_STATUS_ACCESS_DENIED
Ich wüsste jetzt nicht wo ich nach Sekretariat suchen müsste.
Den Ordner gibt es einmal unter /daten/ und sonst dürfte es den nirgends geben. In der smb.conf ist es auch nur einmal vorhanden.

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von weshalb » 24.10.2017 11:18:10

Ok, aber ausser dem Unixpasswort hast du Test auch eins für Samba vergeben, mit dem du dich dann anmeldest, oder?

Code: Alles auswählen

 smbpasswd -a Test
Vielleicht solltest du auch mal das Loglevel erhöhen.

Shadow27374
Beiträge: 22
Registriert: 13.10.2017 10:33:34

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von Shadow27374 » 24.10.2017 11:24:01

Ich glaube ich habe das Problem gefunden und ein neues produziert... -.-

Bei der ganzen Gruppenerstellerei, habe ich ganz zum Schluss vergessen die neue Gruppe "leitung" auch als Samba-Gruppe zu erstellen. Das ist mir nur über die webmin-Oberfläche aufgefallen. Ich finde leider auch keinen Befehl um Sambagruppen händisch (Konsole) zu erstellen.

Der Nutzer "test" kann nun auf Sekretariat zugreifen.
Was für alle(!) nicht mehr geht, ist dass Directory Listing aller Freigaben.

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von weshalb » 24.10.2017 11:33:31

Sambagruppe?

Nochmal mein Tip an dich: Mach dir in einer Tabelle die Gruppen und User mit Rechten sichtbar und fange an, die User den Gruppen zuzuteilen (Sambagruppen kenne ich nicht, lediglich Sambauser), dann erstelle die Ordner so, wie am Anfang beschrieben und fange mit einer leeren smb.conf an.

Und bitte las Webmin Webmin sein.

Shadow27374
Beiträge: 22
Registriert: 13.10.2017 10:33:34

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von Shadow27374 » 24.10.2017 12:22:45

Diese Samba-Gruppen sind wohl "nur" ein Mapping auf die lokalen Gruppen in Linux.
698

Shadow27374
Beiträge: 22
Registriert: 13.10.2017 10:33:34

Re: Samba 4.5.12-Debian Rechtevergabe

Beitrag von Shadow27374 » 25.10.2017 09:42:54

Eine Tabelle mit den Vergaben der Rechte habe ich schon, habe sie nun nur wieder einwenig angepasst. Mein Problem war ja, dass es unter Samba 3.5 etwas anders lief als jetzt mit 4.5. Als nächstes werde ich wohl schauen, dass die Authentifizierung an der Windows-Domäne wieder funktioniert.

Bishier her erstmal Danke und wenn doch noch was schief läuft melde ich mich einfach.

Antworten