PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba @Experts....... :-)



Seiten : [1] 2

ubs
17.06.05, 07:50
Hallo, hab hier einen Samba 2.2.0 installiert, nun brauche ich dringend einen Ordner in dem man nur sachen neu erstellen kann, diese nicht löschen und nicht verändern kann.

Dann brauche ich noch einen Ordner wo die Benutzer alles können sollen. Natürlich muss auch einen Datei eines anderen Benutzers gelöscht werden können usw. Also auf keinen Fall so, dass nur der Ersteller das Recht auf die Datei hat, diese zu ändern.

Den Zugriff auf die Ordner würde ich gerne über die IP-Adressen regeln, da an den Maschinen überall der gleiche Benutzer eingerichtet ist.

Habs schon mit swat versucht, komme aber damit nicht ganz klar.

Viele Grüsse

emba
17.06.05, 08:08
das, was du im ersten punkt willst, geht nur mit samba und dem punkt "inherit owner" ab version 3.0.15pre (wenn du es nicht glaubst, dann such in der samba mailingliste danach, denn dies wird da oft behandelt) - evtl. ist es auch umständlich über ext. attributes möglich (http://maconlinux.net/linux-man-pages/en/attr.5.html), wofür ich nicht meine hand ins feuer lege

die zweite freigabe richtest du so ein:

[limited]
path = /data/limited
force create mode = 777
force directory mode = 2777
hosts allow = 10.0.10.1
writeable = yes

dann noch ein
chmod 2777 /data/limited
und fertig

greez

ubs
20.06.05, 11:34
hi emba, habs gerade versucht, leider kommt wenn ich auf den Ordner zugreifen will immer noch ein Anmeldungsfenster mit dem Gast Account, möchte es so machen, dass nur die User in einem bestimmten IP Bereich in den Ordner kommen.

Glaube es liegt an den Global Einstellungen, haste nen Tipp für mich?

# Global parameters
[global]
workgroup = CAD
netbios name = CAD
security = SHARE
encrypt passwords = Yes
map to guest = Bad User
keepalive = 30
os level = 2
kernel oplocks = No
hosts allow = 192.1.

bei der Samba Version 3.09 müsste es aber dann möglich sein, oder? (punkt1)

viele grüsse

ubs
20.06.05, 12:32
ich komme nur dann rein, wenn ich guest ok=yes setze.... :rolleyes:

emba
20.06.05, 13:56
ok,

wusste ja nicht, wie deine global section aussieht (das nächste mal gleich conf posten)

du musst in die share "guest ok = yes" setzen, damit gastzugriffe überhaupt erlaubt sind auf die share - dann erfolgen alle gastoperationen als "nobody"

wieso soll das erste prob ab 3.0.9 möglich sein, wenn es den parameter erst in der nächsten samba version (>3.0.14a) geben wird?

greez

ubs
21.06.05, 08:12
ok,

wusste ja nicht, wie deine global section aussieht (das nächste mal gleich conf posten)

du musst in die share "guest ok = yes" setzen, damit gastzugriffe überhaupt erlaubt sind auf die share - dann erfolgen alle gastoperationen als "nobody"

wieso soll das erste prob ab 3.0.9 möglich sein, wenn es den parameter erst in der nächsten samba version (>3.0.14a) geben wird?

greez

ach so, dachte wahrscheinlich an 3.0.1.4 ......... aber gerade den Fall müssten doch eigentlich schon mehrere Leute bebraucht haben?... Wann wird denn die neue Version 3.0.14 verfügbar sein?

Noch mal kurz zu dem Guest ok. Dann ist es aber mit diesem Parameter auch so, dass er mir noch die IP Adressen abcheckt? Nicht dass mir dann hinz und kunz in meinen Ordner reinkommen. ;)

......... komisch jetzt hab ich auf der Seite den Download für die Version 3.0.14a gesehen Danksche!

ubs
21.06.05, 08:20
....... total verwirrt du schreibst weiter oben, dass es in der version 3.1.15pre gehen würde............. :eek:

kann man die getrost einsetzen oder wann wird die released?

emba
21.06.05, 12:11
wieso macht dein smiley da große auch bei der pre? ich habe doch nirgends geschrieben, dass du diese einsetzen sollst ;)

pre bedeutet, dass sie vorläufig ist und nicht in produktivumgebungen eingesetzt werden sollte - bauen musst du sie selbst auf dem tarball

ein release termin steht noch nicht fest, ich rechne aber in den nächsten 2 wochen damit
sie wird dann aber aufgrund vieler änderungen 3.0.20 heißen

afaik unterläuft guest ok nicht die allow/deny regeln - bitte testen

greez

ubs
22.06.05, 07:51
ok danke emba, dann werde ich noch 2 wochen warten.
Hast du mir noch nähere infos zum Problem1? Bei deinem link weiß ich nicht genau, wo ich da die infos finde. Kennst du ne gute samba newsgroup?

gruss

ubs
22.06.05, 10:18
ähm, noch mal ne vielleicht ganz blöde frage. Wenn ich die Rechte auf den Ordner z.B. so vergeben würde: r und x also z.B. 555 kann ich dann Dateien in dem Ordner abspeichern, diese aber nicht verändern oder löschen?


--------------------------------------------------------------------------

so ich habs mal mit den rechten versucht. In meiner Conf Datei hab ich jetzt eingestellt-> force group = root und force user = root

Wenn ich jetzt vom Windows eine Datei in den Ordner lege, sehn die Rechte ganz gut aus und zwar so:

-rwxr--r-- 1 root root 22861 Apr 28 12:20 sip_gateway.pdf

So und das sagt mir doch, dass der root alles machen darf, die gruppe und others dürfen nur lesen!!. .......... Und warum kann ich jetzt vom Wiindows aus die Datei wieder löschen? dürfte doch gar nicht gehn, da komm ich ja mit nobody und nogroup rein...... :ugly:

emba
22.06.05, 13:25
wie sieht denn der abschnitt deines shares in der smb.conf aus?
wie sehen die berechtigungen auf das verzeichnis aus, in dem das file liegt?
ich bin leider kein hellseher

zum thema mit den attributen: ich meinte nicht ext. attributes, sondern normale, sorry

du müsstest quasi vor dem connect zur share (root preexec) ein skript schreiben, was alle dateien mit dem immutable bit versieht

leg mal ein file mit 777 berechtigungen an und mach als root chattr +i <file>
dann kann nicht mal mehr root das file löschen

sauberer ist es aber sicherlich über den neuen parameter im kommenden samba

greez

ubs
22.06.05, 13:37
hi, also ich dekne mir das so:

wenn ich eine Datei in den Ordner reinstelle, wird das sogenannte Sticky Bit erstellt und der Ersteller darf deshalb die Datei immer löschen? hab ich das so richtig verstanden?

Also hier ist die Global:

[global]
workgroup = arbeitsgruppe
security = SHARE
keepalive = 30
os level = 2
kernel oplocks = false
hosts allow = 192.1.
guest account = nobody

[Orginal]
comment = Verzeichnis fuer Orginale
path = /Orginal
read only = No
hosts allow = 192.1.1.
guest ok = yes
writeable = yes
browseable = yes
force group = root #dadurch kein zugriff mehr, bis auf das ersteller bit
force user = root #dadurch kein zugriff mehr, bis auf das ersteller bit


force create mode = 0755 #(dachte mir, dass ich vielleicht so das Bit auf Null setzen kann, das geht aber nicht. Die Datei die ich abspeicher wird dann als nobody:nogroup abgelegt. Weißt du, wie der neue Befehl im kommenden Samba dann auschaun wird? Kann ich da also sagen, dass beim Erstellen das STicky Bit nicht mit gesetzt wird?

mein Ordner Orginal hat die alle Rechte: Wenn ich ne Datei speichere legt er die als nobody nogroup ab.

emba
22.06.05, 13:45
wenn ordner Orginale 777 ist, dann darf jeder darin dateien löschen, egal, was deren rechte sagen - das sticky bit auf einen ordner besagt, dass die datei nur vom eigentümer gelöscht werden kann - das willst du aber nicht, denn keiner soll deine dateien löschen können

also ist dies nur möglich, indem du mit dem neuen parameter von samba "inherit owner" den owner auf einen dummy user setzt

dann werden noch die rechte entsprechend geforced:
force create mode = 644
force directory mode = 0755
inherit permissions = no
inherit acls = no
admin users =


bsp:
ls /Orginale
rwxrwxrwx dummy.users .
rw-r--r-- dummy.users meine_datei
rwxr-xr-x dummy.users neuer_unterordner

greez

ps: lists.samba.org

ubs
22.06.05, 13:59
Hi, danke für deine prompte Unterstützung :)


wenn ordner Orginale 777 ist, dann darf jeder darin dateien löschen, egal, was deren rechte sagen -

ähm... also wenn ich ne Datei in den ordner Orginale mit den rechten 777 speichere, steht die Datei mit den Rechten so drin

-rwxr--r-- 1 root root 22861 Apr 28 12:20 sip_gateway.pdf

root deshalb, weil ich das in der smb.conf so angegeben habe.

was sagt denn directory mode = 0775?
werde mir jetzt mal die pre ziehen! :D

Cu DANKE!



dann werden noch die rechte entsprechend geforced:
force create mode = 644
force directory mode = 0755
inherit permissions = no
inherit acls = no
admin users =


bsp:
ls /Orginale
rwxrwxrwx dummy.users .
rw-r--r-- dummy.users meine_datei
rwxr-xr-x dummy.users neuer_unterordner

greez

ps: lists.samba.org

ubs
22.06.05, 14:08
nochmal Nerv :rolleyes:

also die Version 3.0.14a wird als aktuller download angeboten und in der Readme hab ich gefunden:

Changes since 3.0.14a
---------------------

Parameter Name Action
-------------- ------
inherit owner New
max stat cache size New

........................ :D :D

kann ich also gleich loslegen.... :cool:

emba
22.06.05, 16:24
mit der pre kannst du loslegen, wenn du das meinst


was sagt denn directory mode = 0775?
man smb.conf


ähm... also wenn ich ne Datei in den ordner Orginale mit den rechten 777 speichere, steht die Datei mit den Rechten so drin
wie speicherst du sie denn? über smb? dann musst du es forcen, ansonsten nimmt er die maske und ggf. nicht die werte, die du möchtest

greez

ubs
30.06.05, 08:55
hi emba,

also ich dachte eigentlich, dass der inherit owner Befehl schon in der aktuellen stabl version 3.0.14a drin wäre so hab ich es zumindest der readme entnommen. Ich werde mir jetzt mal die 3.0.20pre ziehne und schaun ob das alles wie gewünscht läuft.

grüsse!

emba
30.06.05, 10:18
dann hast du wohl falsch gelesen :)

habe die 20pre getestet, funzt mit inherit owner einwandfrei
was auch neu und wunderbar ist, ist die funktion, berechtigungen von files zu übernehmen

greez

ubs
30.06.05, 12:19
grübel........ kann natürlich auch sein. Ich hab mir gerade die pre gezogen, hab leider nur ein suse7.2 hier. Aber ich habe keine Installationsanleitung gefunden. Haste da noch nen Tipp oder link für mich? :)



dann hast du wohl falsch gelesen :)

habe die 20pre getestet, funzt mit inherit owner einwandfrei
was auch neu und wunderbar ist, ist die funktion, berechtigungen von files zu übernehmen

greez

emba
01.07.05, 13:00
ui, 7.2 :eek:

das könnte probleme beim kompilieren machen (zu alte pakete)
das ist mein configure aufruf

./configure --with-smbwrapper --with-smbmount --with-pam --with-pam_smbpass --with-quotas --with-sys-quotas=yes --with-acl-support --with-shared-modules=idmap_rid

nimm am besten ein ganz frisches suse oder debian und kompiliere dann samba
ansonsten hilft nur warten ;)

greez

ubs
04.07.05, 09:56
Hi, hab mir suse 9.3 besorgt und die pre rpms von suse geladen und eingespielt. .... werde jetzt mal testen....... :)


ui, 7.2 :eek:

das könnte probleme beim kompilieren machen (zu alte pakete)
das ist mein configure aufruf

./configure --with-smbwrapper --with-smbmount --with-pam --with-pam_smbpass --with-quotas --with-sys-quotas=yes --with-acl-support --with-shared-modules=idmap_rid

nimm am besten ein ganz frisches suse oder debian und kompiliere dann samba
ansonsten hilft nur warten ;)

greez

ubs
04.07.05, 16:06
Hi Emba, so ich hab jetzt den Samba neu installiert komme aber nicht klar mit der inherit owner Geschichte. In man smb.conf hab ich auch nichts über inherit owner gefunden............. :(

wie müsste ich denn den Eintrag machen um zu erreichen, dass man nur Dateien erstellen und betrachten kann? Niemand außer dem root soll die Datei dann noch verändern können, auch nicht der Eigentümer. Hab hier den Ordner ORG, der für diesen Zweck dienen soll angelegt. Weiß auch nicht, wie ich die Rechte unter dem Dateisystem setzen soll. Wäre hier ein chmod 755 auf den Ordner angebracht? Das howto auf samba.org liefert auch nichts zu dem Befehl...........

Haste mir noch nen Tipp?

Anbei meine konfig:

[global]
workgroup = CAD
security = SHARE
guest account = nobody
encrypt password = no
browseable = yes
null passwords = yes
map to guest = Bad User
netbios name = cadlnx

[cad]
comment = CAD Bearbeitung
path = /CAD
read only = No
force create mode = 777
force directory mode = 2777
guest ok = Yes
writeable = yes
hosts allow = 192.1.

[org]
comment = Orginal Dateien
path = /ORG
read only = No
force create mode = 644
force directory mode = 0755
inherit permissions = no
inherit acls = no
hosts allow = 192.1.1.
guest ok = yes
writeable = yes
browseable = yes

DATEISYSTEM:
drwxrwsrwx 2 nobody nogroup 128 Jul 4 15:37 CAD
drwxr-xr-x 2 root root 48 Jul 4 08:30 ORG

Vieeeeeeeeeelen Dank!

Grüsse


wenn ordner Orginale 777 ist, dann darf jeder darin dateien löschen, egal, was deren rechte sagen - das sticky bit auf einen ordner besagt, dass die datei nur vom eigentümer gelöscht werden kann - das willst du aber nicht, denn keiner soll deine dateien löschen können

also ist dies nur möglich, indem du mit dem neuen parameter von samba "inherit owner" den owner auf einen dummy user setzt

dann werden noch die rechte entsprechend geforced:
force create mode = 644
force directory mode = 0755
inherit permissions = no
inherit acls = no
admin users =


bsp:
ls /Orginale
rwxrwxrwx dummy.users .
rw-r--r-- dummy.users meine_datei
rwxr-xr-x dummy.users neuer_unterordner

greez

ps: lists.samba.org

emba
05.07.05, 12:35
hast du auch eine samba version > 3.0.14a2 ?

hier ist recht gut beschrieben
http://lists.samba.org/archive/samba/2005-May/105628.html

die besitzer des ordners müssen so aussehen:

dummy-besitzer.gruppe-in-der-dummy-besitzer-nicht-ist

falls noch fragen, einfach melden

greez

ubs
05.07.05, 13:54
Hi, also ich fass dann mal zusammen:

Eigentümer des Ordners muss jemand sein, der nicht in der Gruppe ist, die eingestellt ist..... :)

Dann die rechte auf rwxrws--- setzen für den Ordner

Die User die über Samba auf das Share Zugreifen müssen Mitglied der Gruppe sein denen der Ordner gehört.!

......... dann werde ich mal weiterfeilen du hörst von mir...... ;)

ubs
05.07.05, 14:42
So hier mal meine Einstellungen:

Ich hab an den ganzen Workstations entweder den User admin oder den user ald. Diese User hab ich dem Samba bekannt gemacht und in die Gruppe cad am linux eingetragen.

Mein Ordner sieht nun so aus:

drwxrws--- 2 edv cad ORG # edv ist mein Dummy user, benutzer admin, ald sind in der gruppe cad

[global]
workgroup = CAD
security = SHARE
map to guest = Bad User
null passwords = Yes

[cad]
comment = CAD Bearbeitung
path = /CAD
read only = No
force create mode = 0777
force directory mode = 02777
hosts allow = 192.1.1.
valid users = ald, admin

[org]
comment = Orginal Dateien
path = /ORG
valid users = ald, admin
read only = No
force create mode = 0644
force directory mode = 0755
inherit owner = Yes
hosts allow = 192.1.1.


........................ jetzt hab ich nur noch das Problem, dass der löschschutz usw. nicht auf neu erstellt Ordner und auch den Datien die unter dem neuen Ordner liegen nicht funzt....

bekomm ich das mit umask oder force create mode hin?

emba
06.07.05, 14:27
das bekommst du mit "inherit permissions" und "inherit acls" hin

greez

ubs
06.07.05, 14:47
Hallo emba, nö, es will so nicht klappen, wenn ich es richtig verstanden habe meinst du es so:

[org]
comment = Orginal Dateien
path = /ORG
valid users = ald, admin
read only = No
inherit owner = Yes
hosts allow = 192.1.1.
# force create mode = 0644
# force directory mode = 0755
inherit permissions = yes #neu erzeugte Directories erben die Rechte des
inherit acls = yes

wenn inherit permissions nun drin steht, kann ich die force befehle ja rauslassen, da die dann übergangen werden. Hab jetzt mal einen Ordner angelgt im ORG Share. von den rechten sieht dieser test ordner so aus

drwxr-sr-x 2 edv cad Test # benutzer u. gruppe stimmt jedoch gefällt mir das s nicht......... liegts daran, dass ich nun den ordner noch löschen kann? und neue dateien darf ich in dem test ordner nun auch nicht erstellen............ :(

Wärs nicht alles einfacher über einen cronjob zu machen, der die rechte alle 5 Minuten neu setzt?



das bekommst du mit "inherit permissions" und "inherit acls" hin

greez

emba
06.07.05, 15:08
mach mal ein chmod -R 3770 auf dein ORG
dann: chown -R edv.cad ORG

dann alle force parameter raus und alle inherit rein
share trennen und neu verbinden

greez

ubs
07.07.05, 07:37
hi emba, jetzt hab ich für die Rechte des everyone ein T stat ein x stehen. Der Zugriff sieht nun so aus:

ich kann Dateien erstellen, allerdings kann ich sie nicht mit einem Namen versehen. Ich sollte die Datei beim erstellen jedoch beliebig benennen können. Dafür klappt es jetzt, dass ich auch unter den unterordnern den löschschutz habe. :)

Wenn jetzt noch das Umbennenen funzt wäre es perfekt.

emba
07.07.05, 10:19
wie erstellst du die dateien denn?
word könnte zum problem werden wg. den temporären dateien

habe es grad in ner linux maschine mit smbfs und touch test gemacht - funzt 1a

greez