PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba: Rechte-Änderung erst bei Neuanmeldung



swen1
22.03.06, 15:39
Hi,

alle Rechte, die ich in der smb.conf einstelle, gelten erst nachdem sich der User am Windows abgemeldet und wie neu angemeldet hat.

Das gleiche ist, wenn ich einen User im LDAP einer Gruppe hinzufüge. Die Rechte der Gruppe bekommt er erst nach Neuanmeldung.

Ich habe Samba-Version: 3.0.20b-3.1-SUSE (SuSE 10)

Bei meiner alten Samba 2.7 Installation wurde jede Änderung sofort übernommen. Kann mir da jemand weiterhelfen?

Danke!
Gruß Swen

emba
22.03.06, 16:56
hm, ich bezweifle, dass gruppenberechtigungen unter 2.x sofort übernommen wurden (bspw. jmd. zu einem admin machen, damit er auf dem windowsrechner sofort software installieren kann). denn dies liegt am token, dass jeder benutzer bei der anmeldung an der workstation (und somit am samba server) bekommt. dieses ist für die gesamte zeit der session auf dem DC gültig. es muss die smbd-prozess des users gekillt werden, damit änderungen bspw. an shares in der smb.conf übernommen werden. abmelden muss man sich dennoch, wenn es um berechtigungen am client geht (admingruppen, ...). letzteres ist selten der fall. mitgliedschaften in gruppen, die sich auf POSIX-ebene beziehen, werden auch unter 3.x sofort honoriert. da viele komponenten in einer domäne im spiel sind, gibt es immer wieder für und wieder bei solchen diskussionen

greez

swen1
23.03.06, 09:08
Moin,

ich meine nicht die Rechte auf dem Windows-Client. Es geht z.B. um einfache Zugriffsrechte auf bestimmte Samba-Shares, welche bei mir immer an die Mitgliedschaft in bestimmten POSIX Gruppen gebunden ist.


... mitgliedschaften in gruppen, die sich auf POSIX-ebene beziehen, werden auch unter 3.x sofort honoriert ...


Warum klappt das bei mir nicht? Die Gruppen liegen bei mir im LDAP, aber das war vorher auch so und spielt ja auch keine Rolle. Samba läuft bei mir für einige PC auch als DC, aber überwiegend nur als Fileserver. In der Domäne hab ich das jetzt nicht getestet.

Gruß Swen

PS: Das mit den Rechten in der smb.conf hat sich erledigt. Ich habe jetzt zum Test immer ein "smb reload" gemacht, aber beim "smb restart" werden die Rechte (also z.B. writeable=no usw.) übernommen. Bleiben nur noch die Gruppenrechte ... .

emba
23.03.06, 09:11
einfache Zugriffsrechte auf bestimmte Samba-Shares,
und eben hier gibt es mehrere partner (samba, filesystem, ... ), die mitspielen. bitte stelle mal ein szenario exakt dar!

greez

swen1
23.03.06, 10:20
ok, ich versuch das mal:

smb.conf sieht etwa so aus:

[test]
comment = TEST
browseable = yes
writeable = yes
create mask = 0770
path = /home/gruppen/test
directory mask = 0770
force group = test
valid users = @test
force user = root

Jetzt stellt ein User fest, dass er keine Zugriff auf das Verzeichnis "test" bekommt, und meldet sich bei mir. Ich füge den User im LDAP zur Gruppe "test" hinzu (memberUid: user).

Dann kann der User nicht sofort auf das Verzeichnis zugreifen, sondern erst nachdem er sich erneut am Samba angemeldet hat (ohne Domäne).

Kannst Du damit was anfangen?

Danke!
Gruß Swen

emba
23.03.06, 10:27
jep, und dies ist normal, da er noch mit dem "alten" smbd arbeitet
der smbd expandiert beim login alle gruppennamen zu mitgliedern (uid) und vergibt ein token, was für die länge der session gilt

greez

swen1
23.03.06, 10:41
Ok, und wie kann man das ändern (bzw. den neuen smbd nutzen)?

Aber ich bin mir sicher (ganz sicher!), dass bei meiner alten Samba 2.7 Installation nach dieser Änderung sofort ein Zugriff auf das Verzeichnis möglich war!

Aber ich hab ja inzwischen schon einiges gefunden was früher ging und nun nicht mehr :(

Danke!

Gruß Swen

mamue
23.03.06, 12:16
Es müsste eigentlich reichen, den smbd einen SIGHUP zu schicken (kill -SIGHUP <smbd-prozess>). Vielleicht reicht es ja auch, nur dem smbd des betreffenden Users ein SIGHUP zu senden. Probiert habe ich das aber nicht.
Ansonsten könnte sich der user auch einfach ab- und wieder anmelden.
Ich bezweifle wie auch schon emba, dass das unter samba2 anders war. Ich hatte auch vor einer ganzen Weile samba2 im Einsatz und bin mir ziemlich sehr sicher, dass das da nicht anders war.

HTH,
mamue

emba
23.03.06, 12:40
@mamue

den SIGHUP habe ich nicht erwähnt, da er bspw. nicht wirklich etwas bringt, wenn netlogon skripte ausgeführt werden. denn dazu müsste der user händisch wieder das netlogon skript aufrufen, weshalb ein relogon sinnvoller ist

greez

swen1
23.03.06, 12:50
OK, ich danke Euch !!

Leider hab ich den alten Server vor ein paar Tagen platt gemacht, und kann das nun nicht mehr testen. War mir so sicher, dass das ging.

@mamue
wenn ich Samba neustarte (rcsmb restart), macht er doch auch einen SIGHUP, oder? (sorry, hab das Wort SIGHUP noch nicht gehört bzw. gelesen, vermute es ist sowas wie ein reload?) Wenn ja, dann reicht das nicht.

@emba
was meinst Du mit "alten" smbd? Ich hab jetzt ne ganze Weile gesucht, und nix finden können, dass es einen neuen gibt.

anyway

Es gibt schimmeres, man muss es eben wissen, und kann dann die User darauf hinweisen.

Danke nochmal.
Gruß Swen

mamue
23.03.06, 19:57
OK, ich danke Euch !!
1.: @mamue
wenn ich Samba neustarte (rcsmb restart), macht er doch auch einen SIGHUP, oder? (sorry, hab das Wort SIGHUP noch nicht gehört bzw. gelesen, vermute es ist sowas wie ein reload?) Wenn ja, dann reicht das nicht.

2.: @emba
was meinst Du mit "alten" smbd? Ich hab jetzt ne ganze Weile gesucht, und nix finden können, dass es einen neuen gibt.

1.: Nee, ich glaube nicht. SIGHUP steht für signal hangup und bedeutet eigentlich, dass der Prozess die Konfiguration neu einlesen soll. Es wird für jeden User ein smbd gestartet und jeder smbd liest die smb.conf neu ein. Wenn der smbd, der für den user zuständig ist, ein SIGHUP erhält, liest er die Konfiguration neu ein.
2.: Der alte smbd ist der vor dem Neuanmelden/SIGHUP.

"Das gleiche ist, wenn ich einen User im LDAP einer Gruppe hinzufüge. Die Rechte der Gruppe bekommt er erst nach Neuanmeldung."
Hmm. Kann es sein, dass Du den nscd gestartet hast? Meines Wissens reicht samba alle Fragen zur Berechtigung an das Posix-subsystem (glibc?) weiter. Wenn natürlich der nscd läuft, kann man sich schon mal wundern.

HTH,
mamue

swen1
24.03.06, 09:24
Danke mamue für Deine Erklärungen!!
Beim neuen smbd hatte ich gestern wohl einen totalen blackout -peinlich- :rolleyes:

Der nscd läuft bei mir, aber ein Abschalten ändert auch nichts. Egal, wenn ich Zeit hab, muss ich mal noch bißchen probieren.

Hab auf jeden Fall wieder etwas gelernt. Danke.

Gruß Swen