PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba Zugriffsberechtigungen



andrez
16.02.05, 08:56
Hallo,

habe gerade einen Samba Server installiert, der als Fileserver in einer Windows 2003 AD
(smb.conf: security = ads) dienen soll.
Der Samba Server ist in der Domäne und die Windows - Benutzer und - Gruppen werden mit wbinfo -u/-g auch angezeigt.
Jetzt fehlen mir noch 2 Punkte:
1. Für jeden Windows Domänen-Benutzer möchte ich ein persönliches Home – Verzeichnis unter dem Pfad /home/Privat/Windows-Benutzername einrichten, wo nur der Benutzer Vollzugriff und die Domänenadmins Leserecht haben.
2. Für die Windows Gruppe1 soll ein Verzeichnis Pfad: /home/Gruppe1 eingerichtet werden, wo nur die Mitglieder dieser Gruppe Vollzugriff und die Domänenadmins Leserecht haben.

Ich habe auch schon einiges ausprobiert, aber leider mit keinem befriedigendem Ergebnis da mein Linux Know-How doch noch recht bescheiden ist und hoffe nun auf Eure Unterstützung.
Meine Frage ist die: Wie muss ich die entsprechenden Freigaben in der smb.conf konfigurieren und wie muss ich die Linux Zugriffsrechte auf den einzelnen Verzeichnisssen (inklusive ACL) setzen. Kann man diese Einstellungen auch mit dem Tool webmin einrichten?
Vielen Dank im Voraus.

Gruß
Andreas

hubrach
16.02.05, 14:41
Du hast in Samba die Kürzel %U %M für Username und Maschinenname zur Verfügung..
z. B :
logon home = \\%L\home\%U\Win-profile
logon path = \\%L\profiles\%a\%U

Poste mal deine smb.conf.

andrez
17.02.05, 09:49
Hallo,

hier ist die smb.conf

# smb.conf is the main Samba configuration file. You find a full commented
# version at /usr/share/doc/packages/samba/examples/smb.conf.SUSE if the
# samba-doc package is installed.
# Date: 2004-12-22
[global]
workgroup = ZIT
netbios name = Fileserver
realm = ZIT.LAN
server string = Samba
wins server = 192.168.1.1
log file = /var/log/samba/log.%m
max log size = 1000
security = ads
idmap uid = 500-10000000
idmap gid = 500-10000000
template shell = /bin/bash
password server = 192.168.1.1
winbind separator = +
winbind cache time = 10
winbind use default domain = Yes
winbind nested groups = Yes
winbind enum groups = yes
winbind enum users = yes
local master = no
invalid users = root
# printing = cups
# printcap name = cups
# printcap cache time = 750
# cups options = raw
# printer admin = @ntadmin, root, administrator
# username map = /etc/samba/smbusers
# map to guest = Bad User
# include = /etc/samba/dhcp.conf
# logon path = \\%L\profiles\.msprofile
# logon home = \\%L\%U\.9xprofile
# logon drive = P:

[homes]
comment = Home
writable = yes
valid users = %S
path = /home/Privat
inherit acls = Yes

[profiles]
comment = Network Profiles Service
path = %H
read only = No
store dos attributes = Yes
create mask = 0600
directory mask = 0700

[users]
comment = All users
path = /Daten/Public
read only = No
inherit acls = Yes
veto files = /aquota.user/groups/shares/

[groups]
comment = All groups
path = /home/Gruppe1
valid group = Gruppe1
read only = No
inherit acls = Yes

[printers]
comment = All Printers
path = /var/tmp
printable = Yes
create mask = 0600
browseable = No

[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @ntadmin root
force group = ntadmin
create mask = 0664
directory mask = 0775

Gruß

Andreas

hubrach
17.02.05, 10:26
Mach mal folgendes
logon home = \\%L\home\Privat\%U
logon path = \\%L\home\Privat\%U
logon drive = P:

[homes]
comment = Home
writable = yes
valid users = %S
path = /home/Privat/%U
inherit acls = Yes

Auf dem LinuxServer müßtest du noch die Algemeinen Gruppen abbilden bzw. verlinken wenn du das nicht schon gemacht hast :
net groupmap modify ntgroup="Domain Users" unixgroup=users
net groupmap modify ntgroup="Domain Guest" unixgroup=nobody
net groupmap modify ntgroup="Domain Admins" unixgroup=localadmins

Die gruppen kannst du entsprechend deiner Gruppen ändern.
Dann dem Verzeichnis auf Linuxseite die rechte 740 geben und die Gruppe "localadmins" zuordnen und den User wenn nicht schon gemacht mit Usernamen festlegen
chgrp localadmins Verzeichnis
chown username Verzeichnis

Dann sollte es gehen....

andrez
18.02.05, 08:33
Hallo Hubrach,

bin noch nicht dazu gekommen deinen Vorschlag zu testen. Habe noch eine Frage zum Verständnis: Wenn man winbind wie folgt in der /etc/nsswitch.conf konfiguriert:

passwd: files winbind
shadow: files
group: files winbind

werden die NT - User und -Gruppen nicht automatisch mit den entsprechenden Unix - Usern und -Gruppen verbunden?

Gruß

Andreas