PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : zusätzliche Samba-Gruppe wird im Windows-Client nicht angezeigt



pixel
03.02.06, 15:56
Hi@all,

ich habe für einen Bekannten einen Samba-PDC mit LDAP eingerichtet. Das funktioniert auch alles prima. Bei meinen PDC's habe ich jedoch die ACL's immer deaktiviert da ich das alles über die LDAP-Gruppen auf die Linux-Rechte abgebildet habe. Damit mein Bekannter es jedoch einfacher hat möchte ich ihm die Windows-ACL's aktivieren. Das klappt auch fast.
Am Servergibt es z.B. das Groupmapping:
users (S-1-5-21-xxxxxxxxx-xxxxxxxxxxx-xxxxxxxxxxxx-513) -> users

513 ist ja die Windows-Gruppe "Domänen-Benutzer". Wenn ich am Windows-Client nun in die Eigenschaften / Sicherheit auf einen Folder gehe wird mir die Gruppe "users" angezeigt und ich kann Rechte spezifizieren.

Nun habe ich eine Gruppe "public" angelegt und habe ihr User zugeordnet. Auch hier gibt es ein Mapping:

public (S-1-5-21-xxxxxxxxx-xxxxxxxxxxx-xxxxxxxxxxxx-3005) -> public

Das sollte doch passen, oder? Am Windows-Client bekomme ich diese Gruppe nicht angezeigt. Hier die relevanten Auszüge aus der smb.conf:

[global]
...
acl compatibility = Yes
...
[data]
comment = Data
path = /data
...
inherit acls = Yes
inherit permissions = Yes
...
nt acl support = Yes

Kann mir jemand sagen wo ich einen Fehler gemacht habe?

Viele Grüße
pixel

emba
03.02.06, 16:40
wenn die user/gruppen am client teilweise nicht propagiert werden, hat das nix mit der conf zu tun. vielmehr kommt hier ldap ins spiel.

was sagt net groupmap list?
stimmen die SIDs?

desweiteren: loglevel auf dem server erhöhen, eins pro maschine anlegen lassen (log.%m), log leeren (echo "" >logfile), gruppeneditor (o.ä.) am client öffnen, fehler bemerken und log irgendwo hinkopieren, damit du nur die relevanten daten erhältst

greez



acl compatibility kennt laut doc keinen "yes" parameter.
schimpft testparm -sv nicht?

pixel
04.02.06, 17:47
Hi@all,

also es funktioniert jetzt, lediglich nicht automatisch. Wenn ich neue Gruppen/User anlege werden diese nicht angezeigt in dem Sicherheits-Dialog. Wenn ich dann die Gruppen/User hier hinzufüge klappt es. Das sollte doch aber auch automatisch gehn, oder?

wenn die user/gruppen am client teilweise nicht propagiert werden, hat das nix mit der conf zu tun. vielmehr kommt hier ldap ins spiel.
In wie fern? Wie oben beschrieben funktioniert es ja wenn ich im Sicherheits-Dialog (auf das Share) die User/Gruppen hinzufüge.

was sagt net groupmap list?
Wie oben bereits geschrieben:

users (S-1-5-21-xxxxxxxxx-xxxxxxxxxxx-xxxxxxxxxxxx-513) -> users
public (S-1-5-21-xxxxxxxxx-xxxxxxxxxxx-xxxxxxxxxxxx-3005) -> public

stimmen die SIDs?
ja

acl compatibility kennt laut doc keinen "yes" parameter.
Hab's gesehn. er scheint jedoch "Yes" in "auto" aufzulösen.

Viele Grüße
pixel

emba
04.02.06, 23:12
verstehe dein prob anscheinend nicht
meinst du, dass im security dialog nur die SID angezeigt wird und der client diese nicht aufloest? screenshots?

greez

pixel
06.02.06, 09:30
verstehe dein prob anscheinend nicht
meinst du, dass im security dialog nur die SID angezeigt wird und der client diese nicht aufloest?
Nein ist ganz einfach.
Im Moment habe ich die beiden Samba-Gruppen:

users (S-1-5-21-xxxxxxxxx-xxxxxxxxxxx-xxxxxxxxxxxx-513) -> users
public (S-1-5-21-xxxxxxxxx-xxxxxxxxxxx-xxxxxxxxxxxx-3005) -> public
Nun lege ich eine weitere Samba-Gruppe "test" an, also:

users (S-1-5-21-xxxxxxxxx-xxxxxxxxxxx-xxxxxxxxxxxx-513) -> users
public (S-1-5-21-xxxxxxxxx-xxxxxxxxxxx-xxxxxxxxxxxx-3005) -> public
test (S-1-5-21-xxxxxxxxx-xxxxxxxxxxx-xxxxxxxxxxxx-3006) -> test
Es gibt im Moment nur das Share [data] (siehe oben) was am Client als Laufwerk x: gemappt ist. Nun gehe ich vom Client aus auf dieses LW und lege einen neuen Ordner an. Anschließend mache ich einen Rechtsklick auf diesen neuen Ordner "Eigenschaften -> Sicherheit". Hier wird mir die neue Gruppe test nicht angezeigt. Weder als Name noch als SID.

ok, Ordner test wieder löschen.

Nun gehe ich vom Client wieder auf den Server. Allerdings über die Netzwerkumgebung direkt auf das Share (data) und wähle auch hier. "Eigenschaften -> Sicherheit". Auch hier erscheint die Gruppe "test" nicht. Nun wähle ich in diesem Dialog Hinzufügen und füge die Gruppe test hinzu.
Wenn ich nun nach o.g. Weg einen Ordner anlege habe ich im Sicherheits-Dialog für diesen Ordner die neue Gruppe test zur Auswahl.

Ich hoffe ich konnte das Problem verständlich erklären.

Viele Grüße
pixel

emba
07.02.06, 12:28
arbeitest du mit vererbung der rechte? denn wieso soll die gruppe test auch gesetzt werden, wenn es samba bzw. das filesystem nicht vorsieht?

greez