PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : wie in samba die gruppenzugehörigkeit definieren?



markeese
20.11.07, 15:47
Hallo,

ich habe im Moment folgende Aufgabenstellung:

In meiner Benutzerverwaltung (via yast unter OpenSuse 10.2) habe ich folgende Benutzer / Gruppen angelegt.
Ein Benutzer 'USER' ist Mitglied der Gruppen 'GRUPPE1' und 'GRUPPE2'
Des Weiteren gibt es u.a. zwei bestimmte Verzeichnisse auf der Festplatte.
Erstellt USER nun eine Datei im ersten Verzeichniss sieht die Sache wie folgt aus:
-rwxrwxr-x 2 USER GRUPPE1 4.0K May 24 16:54 DateiErstellt USER nun eine Datei im zweiten Verzeichniss sieht die Sache leider genau so aus:
-rwxrwxr-x 2 USER GRUPPE1 4.0K May 24 16:54 Datei

Wie kann ich erreichen, dass USER im zweiten Verzeichniss eine Datei als Mitglied der GRUPPE2 anlegt und nicht als Mitglied der GRUPPE1?

smb.conf:
[global]
workgroup = GRUPPE
printing = cups
printcap name = cups
printcap cache time = 750
cups options = raw
map to guest = Bad User
include = /etc/samba/dhcp.conf
logon path = \\%L\profiles\.msprofile
logon home = \\%L\%U\.9xprofile
logon drive = P:
usershare allow guests = No
add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
domain logons = No
domain master = No
security = user
passdb backend = smbpasswd
[homes]
comment = Home Directories
valid users = %S, %D%w%S
browseable = No
read only = No
inherit acls = Yes
[profiles]
comment = Network Profiles Service
path = %H
read only = No
store dos attributes = Yes
create mask = 0600
directory mask = 0700
[users]
comment = All users
path = /home
read only = No
inherit acls = Yes
veto files = /aquota.user/groups/shares/
[groups]
comment = All groups
path = /home/groups
read only = No
inherit acls = Yes

[printers]
comment = All Printers
path = /var/tmp
printable = Yes
browseable = Yes
guest ok = Yes

[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
guest ok = Yes
browseable = Yes

[VERZEICHNISS1]
browseable = No
comment = Test1
create mask = 0770
force create mode = 0770
force directory mode = 0770
guest ok = No
inherit acls = Yes
path = /verz1
printable = No
read only = No

[VERZEICHNISS2]
browseable = No
comment = Test2
create mask = 0770
force create mode = 0770
force directory mode = 0770
guest ok = No
inherit acls = Yes
path = /verz2
printable = No
read only = No

hubrach
21.11.07, 08:15
Vielleicht mit dem Schalter innerhalb der Verzeichnisfreigabe :

force group = Gruppe2
in Verbindung mit
write_list = @Gruppe2,root

Damit dürfen nur Leute die Mitglied der Gruppe2 sind schreiben und Dateinen werden mit Rechten der Gruppe2 ausgestattet

markeese
21.11.07, 09:56
Hi hubrach,

danke für den Tipp aber das habe ich schon ausprobiert.
Durch 'force group = GRUPPE' werden alle, die auf das entsprechende share zugreifen, in diesem Moment mit den Gruppenrechten des shares ausgestattet.
Sprich; Es können zumindest ALLE in diesem share lesen.
Das stellt ein erhebliches Sicherheitsrisiko da.
Da muss es doch noch 'ne andere Lösung geben!?!

hubrach
21.11.07, 10:30
Ich fürchte du wirst keine andere Möglichkeit haben
da unix die datei immer mit username und defaultgruppe anlegt

aber die leserechte kannst du beschränken mit
valid users = @gruppe2

markeese
23.11.07, 18:12
hmmmm.
Ich prüfe mal, ob mir die Sicherheit durch Verwendung von valid users ausreicht.

Vielen Dank schon mal für die Ünterstützung.
Markus...