Hallo zusammen!

Es scheint ja tausend Wünsche mit tausend Problemen und tausend Lösungen zu geben, wenn man Linux und Windows in einem Netz liieren will. Hier noch ein tausend-und-einter Wunsch :D

Ich möchte eine Domäne einrichten, die auf folgenden Eckpfeilern steht:
- SAMBA PDC
- Zentrale LDAP Userverwaltung
(keine doppelten Accounts in Windows und Linux)
- Windows 2000 Clients, die ihre Domänen-Accounts aus LDAP (s.o.) beziehen

Der SAMBA soll gleichzeitig ein Fileserver sein und nur der smbd (beispielsweise) soll der alleinige User für die Freigaben sein.

Meine Frage:
Gibt es eine Möglichkeit, durch LDAP eine Art Abstraktionsebene zu schaffen, auf der ich Usern indirekt Rechte auf Shares geben kann (wie gesagt, der smbd soll z.B. alleiniger Besitzer sein)?

Üblicherweise wird in die samba.conf hineingeschrieben, welche Berechtigungen gesetzt werden, wenn ein User z.B. ein Verzeichnis anlegt.

Ich will aber eine Trennung zwischen den Rechten im Dateisystem und den Freigabeberechtigungen erreichen. Sprich, wenn sich User "BlackHat" an meinen Freigabeberechtigungen vorbeischummelt, soll er damit im Dateisystem nicht weit kommen.

Ich hoffe man kann mir helfen. Oder ist das tatsächlich nur ein Wunsch?

PS: Mir ohne weiteres davon abzuraten hat keinen Zweck! Man muss mir schon einen guten Grund nennen. ;)

MfG

ich versteh dein anliegen leider nicht:

auf der einen seite soll nur der smbd user zugriff bekommen, auf der anderen seite aber eine abstraktionsebene geschaffen werden, damit du die berechtigungen individuell gestalten kannst?

mit openldap hat dein vorhaben wieder nichts zu tun
evtl. helfen dir die parameter der smb.conf

- valid users
- force user
- write list
- admin users

weiter

greez

ps: das linux magazin hat derzeit ein wunderbares sonderheft für einsteiger auf dem markt über windows/linux-integration

hi emba!

nur zur info, bist du hier mod oder ein/e excellente/r linuxer/in? alle meine fragen wurden bisher von dir mit einem antwortpost versehen, bzw. kommentiert. ;)


nochmal zurück zur problematik. folgende situation:
in "meinem" netz existieren windows-user, deren pendants auf linux seite und DEREN abbildung in SAMBA.
im grunde sind aber nur die windows-user relevant, denn die anderen accounts benötige ich, damit ich auf SAMBA-shares zugreifen kann.
dadurch, dass die win-user aber einen shell-account haben, können sie sich auch auf den SAMBA-fileserver verbinden und per shell in den exports-ordner hangeln.
(es wird auch so bleiben, dass es immer shell-user gibt.)
wenn jetzt aber der ordner oder auch der mount-punkt dem smbd gehört und niemand sonst rechte hat (also 0700), kommt der shell-user nur bis dahin und nicht weiter.
wenn er sich aber über samba verbindet, soll er ín den freigaben machen dürfen, was ihm seine rechte gestatten.

bisher hab ich mir die funktionsweise dieser komponenten (samba, ldap, etc.) nur theoretisch angeschaut um ein wenig die ständige bastelei zu umgehen, wenn ich eine neue theoretische information habe.
jedoch werde ich jetzt wohl nicht umhin kommen, mit ein wenig praxis meine lese-müden augen vom monitorgestarre zu befreien. :)

schönen tag erstmal und wie immer

MfG

jep, bin mod - ich antworte nicht auf alle beiträge, aber es ist meine aufgabe dafür zu sorgen, dass hier keine "halbwahrheiten" verbreitet werden, damit die beiträge hier den nutzern auch etwas bringen

ok,

damit alle via smb/cifs auf den ordner kommen, obwohl die POSIX rechte dies unterbinden, musst du mit force user arbeiten

damit werden alle nutzer auf den smbd nutzer abgebildet, welcher ja entsprechende rechte hat

btw: wenn du mit ldap als pdb arbeitest, hast du die möglichkeit, granuliert festzulegen, wer welche shell bekommt

greez