Hallo,

ich habe folgendes Problem mit der Einrichtung von Samba:
1. ich habe 2 Benutze eingerichtet "heinz" und "nina"
2. Gruppe "home" angelegt und die Nutzer heinz und nina zugewiesen
3. Verzeichnis "daten" angelegt und Rechte gesetzt
- Nutzer - heinz: lesen/schreiben/ändern
- Gruppe - home :lesen/schreiben/andern
4.Verzeichnis "daten" unter Samba freigegeben

als System benutze ich SuSE 9.3

wenn heinz einen textdatei im Verzeichnis Daten öffnet und sie dann wieder abspeichert verliert die Gruppe home alle Rechte an dieser Datei und nur heinz darf die Datei jetzt lesen/schreiben/ändern.

mfg
susefan

du musst mit diversen force parametern oder ggf. dem sticky bit arbeiten
siehe man smb.conf

greez

Mit den force Parametern habe ich das auch schon probiert, aber damit entfallen dann die Rechte, da Jeder mit dieser Gruppe forciert wird, auch wenn er dieser Gruppe nicht angehört das ist ja auch nicht der Sinn einen Autentifizierung.

susefan

mach mal interhit permissions = yes
das forcen auf nutzer und gruppen hat meist nur sinn in verbindung mit valid users. die authentifizierung wird nie umgangen (außer bei security = share und mit diversen einstellungen des map to guest parameters).

greez

Hallo

wenn heinz einen Textdatei im Verzeichnis Daten erstellt bekommt sie den Benutzer heinz und die Gruppe user zugewiesen, dadurch ist es auch anderen Nutzern möglich diese Datei zu bearbeiten, was natürlich nicht der Fall sein sollte. Wie mache ich Samba klar das er die Datei mit der Gruppe home anlegt, ohne die Gruppe zu forcieren?

susefan

1. ich habe 2 Benutze eingerichtet "heinz" und "nina"
wo sind die eingerichtet? Sie sollten sein in

/etc/passwd

und

/etc/samba/smbpasswd

Also anlegen als root (passiert nicht automatisch)

# smbpasswd -a -e heinz (und analog nina)

und für den Rechner:

# useradd RECHNER$ (syntax im Moment nicht parat)

---> kommt automatisch in die /etc/passwd

# smbpasswd -a -e RECHNER$

---> kommt automatisch in die /etc/samba/smbpasswd

Die Passworte sind - sinnvollerweise(?) - für Linux und Windows verschieden

Maschinen-Konto aus /etc/smbpasswd
RECHNER-1$:1011:NO PASSWORDXXXXXXXXXXXXXXXXXXXXX:NO PASSWORDXXXXXXXXXXXXXXXXXXXXX:[NW ]:LC
T-3DDB9FCD:

dazu korrespondierend in /etc/passwd
RECHNER-1$:x:1011:100::/dev/null:/bin/false

Das wird gebraucht, damit der Rechner 'RECHNER-1' den Sambaserver in der Netzwerkumgebung sehen - und darauf zugreifen - kann.
sinnvollerweise (mit -u 1001) in anderem Bereich als die normalen user

s.a. Linux Magazin 2/03, S. 39:
useradd -u 1001 -d /dev/null -s /bin/false Winnie$
passwd -l Winnie$
no home (-d), no login (-s), inactiv account (-l)
smbpasswd -am Winnie$

Samba-seitig erzeugt man das Computerkonto mit dem Befehl

smbpasswd -a -m -n Verena$ add, machine, no-password

Das Computerkonto steht dann wie ein normaler Samba-Benutzer in /etc/samba/smbpasswd

Ein Benutzerkonto für einen Rechner, d.h. <rechner>$ kann man mit yast nicht
anlegen (weil kein $ am Ende möglich)!

Für die Domäne erforderlich (Grossbuchstaben zur Sicherheit, weil problemlos!?):
useradd -s /bin/false '<RECHNER>$' # Maschinen-Konto
smbpasswd -a -e -m <RECHNER>$ # add, enable, machine



2. Gruppe "home" angelegt und die Nutzer heinz und nina zugewiesen
3. Verzeichnis "daten" angelegt und Rechte gesetzt
- Nutzer - heinz: lesen/schreiben/ändern
- Gruppe - home :lesen/schreiben/andern
4.Verzeichnis "daten" unter Samba freigegeben

Wieso hast Du überhaupt Rechte für die Gruppe vergeben, und wenn ja wo?

Die effektiven Rechte eines Windows-Benutzers sind eine Summe aus den Rechten unter Linux und den, in der Samba-Konfiguration angegebenen. Also sollte, wenn heinz und nina zur Linux-Gruppe 'users' gehören, das Verzeichnis auch die Schreibrechte für die Gruppe haben, also etwa so:

ls /windows/C/Eigene\ Dateien

drwyrwx--- root.users ... /windows/C/Eigene Dateien

Wobei ich mir nicht sicher bin, ob das so - die Gruppe - auf einer Windows-Partition so funktioniert ;-) besser in Linux-Partition

mit der Datei /etc/samba/domainuser.map kann eine Abbildung (eventuell auch andere Schreibweise) der Windows auf die Linux-User vorgenommen werden

Wenn "security = user" gesetzt ist und die Benutzernamen der Clients nicht mit
denen auf dem Server übereinstimmen, kann es zu Problemen mit "IPC$" kommen:

Abhilfe (in /etc/samba/smb.conf):
security = share oder

username map = /etc/usermap.txt

und anlegen dieser Datei mit dem Inhalt:

"server username" = "client name"

ACHTUNG:

Das Kennwort, welches mit 'smbpasswd' eingestellt wird, hat nur
Bedeutung für den Zugang via Windows (ohne einen Eintrag ist von
Windows aus kein Zugang möglich!)

Für den Zugang via Linux ist das Login-Password maßgebend, das
Kennwort via 'smbpasswd' hat keine Bedeutung!

Auszug aus meiner /etc/samba/smb.conf

[homes]
comment = Home Directories
valid users = %S
browseable = no
read only = No
create mask = 0640
directory mask = 0750
guest ok = no
printable = no

Das sind die privaten Bereiche aller Benutzer mit einem Samba-Account, die aber - im Normalfall - auch in der /etc/passwd stehen müssen, also heinz und nina

[Daten]
comment = Schreibbereich für alle
path = /windows/C/Eigene Dateien/
guest ok = yes
write list = heinz, nina

[DVD]
comment = Combi CD/RW, DVD/RO
path = /media/dvd/
preexec = /bin/mount /media/dvd
postexec = /bin/umount /media/dvd

Das obige sind 'Freigaben' im Windows-Netz, mit dem Bonbon des 'automatischen' mounten einer eingelegten CD/DVD

So sollte alles Lesen/Schreiben funktionieren. Habe zwar nur Suse 9.0 sollte aber nicht wesentlich anders sein. Obwohl ... der Intranet-Zugriff via ssh auf meinen Suse 9.2 Rechner war auch mit Fallstricken versehen (die Firewall hat kräftig geblockt ;-) )

Günter

Hallo,

das erste Problem ist gelöst:

wenn heinz einen textdatei im Verzeichnis Daten öffnet und sie dann wieder abspeichert verliert die Gruppe home alle Rechte an dieser Datei und nur heinz darf die Datei jetzt lesen/schreiben/ändern.

das zweite Problem leider noch nich:

wenn heinz einen Textdatei im Verzeichnis Daten erstellt bekommt sie den Benutzer heinz und die Gruppe user zugewiesen, dadurch ist es auch anderen Nutzern möglich diese Datei zu bearbeiten, was natürlich nicht der Fall sein sollte. Wie mache ich Samba klar das er die Datei mit der Gruppe home anlegt, ohne die Gruppe zu forcieren?

ich würde gerne mit Gruppen arbeiten da dies bei vielen Nutzer mit verschiedenen Rechten die Sache stark vereinfacht.

susefan

ohne force group get dies nur über das sticky bit auf verzeichnisse. nachteil: jede neue datei/verzeichnis, wenn nicht geforced, bekommt diese gruppe zugewiesen

greez

Hallo

Danke :D :D :D :D :D :D :D

das war die Lösung für mein Problem jetzt bekommt jeder Ordner bzw. jede Datei diese Gruppe zugewiesen. Warum das ein Nachteil sein soll verstehe ich aber nicht.

susefan