PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba, OpenLDAP und Zugriffsrechtevergabe



kaiszy
20.07.05, 12:03
Hallo!

Wir haben einen Samba/OpüenLDAP/DHCP-Server aufgesetzt, der soweit
auch recht gut funktioniert. Nun fangen wir an, die Rechntevergabe zu
erzeugen und sind dabei auf Probleme gestossen.

Wir würden gerne folgendes realisieren:

Gruppen

Admins: user1, user2
Marketing: user3,user4
EDV: user1, user2, user3, user5
Buchhaltung: user6, user7
Alle: Admins, Marketing, EDV, Buchhaltung

Pfade + Zugriffsrechte

/pub -> Admins(rw), Alle(r)
/pub/markt -> Admins(rw), Marketing(rw), Alle(r)
/pub/edv -> Admin(rw), EDV(rw), Alle(r)
/pub/edv/projekte -> Admin(rw), EDV(rw)
/pub/buha -> Admin(rw), Buchhaltung(rw), Alle(r)
/pub/buha/personal -> Buchhaltung(rw)

Ich weiss nicht genau, wie die Zugriffsrechte in der smb.conf gesteuert werden. Anscheinend nimmtder Sambaserver beii der Rechtevergabe nur die primarye Usergruppe (die bei allen Usern 'Alle' ist) um herauszufinden, ob ein
User in ein bestimmtes Verzeichnis schreiben darf oder nicht.

Wie muss dafür die Rechtevergabe auf Dateiebene und in der Sambakonfig aussehen ?

Danke!

CU,
Kai.

emba
20.07.05, 14:47
bitte beschreib doch erstmal, welche software (version) du genau einsetzt

samba berücksichtigt alle gruppenmitgliedschaften
man kann sich aber schnell ins eigene bein schießen mit ein paar konfigurationsoptionen...

greez

kaiszy
20.07.05, 14:53
Hi Emba,

hier die Infos:

Linux PDC01 2.6.5-7.139-smp #1 SMP Fri Jan 14 15:41:33 UTC 2005 x86_64 x86_64 x86_64 GNU/Linux

Samba: 3.0.4-SUSE

OpenLDAP: @(#) $OpenLDAP: slapd 2.2.6 (Jun 30 2004 21:13:40) $
abuild@liszt:/usr/src/packages/BUILD/openldap-2.2.6/servers/slapd

Danke!

CU,
Kai.

emba
20.07.05, 18:45
ok,

bitte poste auch noch die smb.conf
willst du einen PDC oder nur fileserver aufsetzen?
openldap halte ich fuer eure zwecke ueberdimensioniert, wenn es wahrlich nur das szenario ist, was du hier aufzeigst

samba bildet alle rechte auf die darunterliegenden rechte im filesystem ab
will user1 nach /home schreiben, so muss er auch schreibberechtigungen im filesystem dafuer haben

es gibt aber, wie ich bereits oben beschrieben habe, ausnahmen, die dies umgehen koennen - deshalb will ich die smb.conf

braucht ihr unbedingt openldap?
wenn ja: schau dir mal mein tutorial dazu (s. sticky) an

greez

kaiszy
21.07.05, 11:57
Hi emba!

Das Szenario ist ein wenig komplexer (ca. 100 Groups, ca. 200 User, eine kompliziertere Verzeichnisstruktur). Ich habe es nur ein wenig vereinfacht um mein Problem zu schildern. Der Server läuft schon als PDC. OpenLDAP ist auch schon korrekt eingerichtet. Was nurnoch fehlt ist die 'Eingebung' zur Rechtevergabe.

Wir migrieren von Novell 4.x auf Samba. Unter Novell kann ich auf ein
Verzeichnis mehrere Groups legen (und sogar Gruppen in Gruppen auf
Verzeichnisse). Und das wolte ich unter Samba abbilden.

Grund:

Wir möchten die Verzeichnisfreigaben auf jeden Fall per Gruppen
zuordnen. Ich möchte einfach mehrere Gruppen lesen, schreiben
auf Verzeichnisse zugreifen lassen (und dies losgelöst vom Filesystem
tun da ich dort ja nur pro Verzeichnis eine Gruppe angeben kann).
Meine Idee war, die Filesystemfreigabe einfach so zu vergeben, das
jeder reinschreiben/lesen darf, das dann aber per Samba einzuschränken.

Danke!

CU,
Kai.

emba
21.07.05, 16:31
du kannst es mit samba via write list und read only machen

aber das hier stimmt nicht



und dies losgelöst vom Filesystem
tun da ich dort ja nur pro Verzeichnis eine Gruppe angeben kann

ACLs ...

greez