PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Frage zu Samba-Rechten "Eigentümer/Gruppe"



TBVAndy
09.12.11, 11:09
Hallo zusammen,

ich habe aktuell ein Problem (oder vielleicht auch nur einen Denkfehler) bei der Rechtevergabe unter Samba.

Ich hab innerhalb einer Samba-Freigabe ein Unterverzeichnis erstellt (nennen wir es z.B. "Kundenzeichnung".

In diesem Verzeichnis befinden sich beliebig viele Dateien. Alle Mitglieder der Benutzergruppe "cax_kunden" sollen Lesezugriff auf diese Verzeichnis und alle Dateien darin haben, aber NUR Mitglieder der Benutzergruppe "cax_kunden_w" sollen vorhandene Dateien auch ändern können.

Das ganze sieht dann z.B. so aus

Verzeichnis

d---rwx--- 2 root cax_kunden 4096 9. Dez 10:50 Kundenzeichnung

Dateien

----rwxr-x 1 root cax_kunden_w 123076 9. Dez 09:58 30240.bak
----rwxr-x 1 root cax_kunden_w 123257 9. Dez 09:58 30240.dwg

Das ganze funktioniert aber leider nicht, obwohl der jeweilige Benutzer in der Gruppe "cax_kunden_w" ist, kann er die Datei nicht verändern oder löschen. Sobald ich das Dateirecht von 075 auf 775 setze, kann die Datei wieder gelöscht werden. Leider aber nicht nur von Mitglieder der Gruppe "cax_kunden_w" sondern von allen Mitgliedern, die Zugriff auf das Verzeichnis haben.

Eigentümer der Datei ist aber doch ROOT, nicht der Benutzer der Versucht sie zu löschen. Da Gruppenmitglieder der Gruppe "cax_kunden_w" das löschen ja erlaubt ist, müßte es doch eigentlich klappen.

Ich hab jetzt Root auch mal Testweise in die Gruppe "cax_kunden_w" gepackt, keine Änderung. So lange der Eigentümer nicht schreiben darf, kann ich die Datei auch nicht löschen.

Was komisch ist, obwohl bei 075 der Eigentümer ja auch kein Leserecht hat, kann er die Datei trotzdem im Explorer sehen und auch öffnen.

Ich hoffe ihr könnt mir soweit folgenden. :D

HBtux
10.12.11, 22:54
Auf Dateisystemebene musst Du großzügig Rechte für alle vergeben.

In der Gruppe "cax_kunden" sind dann alle Mitarbeiter enthalten, die auf die Freigabe zugreifen müssen.
In der Gruppe "cax_kunden_w" dann nur noch die Mitarbeiter, die über diese Freigabe schreiben dürfen.

Die Gruppenrechte also z.B. auf "cax_kunden" ändern und der Gruppe Schreibrechte geben.
Über die Samba-Freigabe legst Du dann fest, dass die Gruppe "cax_kunden" nur lesen darf und die Gruppe "cax_kunden_w" auch schreiben bzw. löschen darf.
Dem User root würde ich nicht unbedingt die Rechte entziehen.

Verzeichnisrechte würde ich auf 0770 und Dateirechte auf 0660 ändern



drwxrwx--- 2 root cax_kunden 4096 9. Dez 10:50 Kundenzeichnung

-rw-rw---- 1 root cax_kunden 123076 9. Dez 09:58 30240.bak
-rw-rw---- 1 root cax_kunden 123257 9. Dez 09:58 30240.dwg




[Kundenzeichnung]
path = /Kundenzeichnung
writeable = yes
create mask = 0660
directory mask = 0770
valid users = @cax_kunden
read list = @cax_kunden
write list = @cax_kunden_w
force group = cax_kunden
...


Oder ACLs verwenden....

TBVAndy
13.12.11, 10:25
Hallo, die Rechtevergabe über die smb.conf schied bei mir leider aus da das bei meiner Verzeichnisstruktur leider nicht ging.

Die Strutkur sieht bei mir so aus

SCR --> SCR 3 --> SCR 3 0000 --> Kundenzeichnung
--------------------------------> Formzeichnung
--------------------------------> usw.

SCR --> SCR 3 --> SCR 3 0001 --> Kundenzeichnung
--------------------------------> Formzeichnung
--------------------------------> usw.

und bis zur 3 Ebene haben alle Benutzergruppen die gleichen Zugriffsrechte, erst ab der Ebene 4 werden unterschiedliche Zugriffsrechte benötigt.

Der Tipp mit den ACLs war jedoch Gold werden.

Verzeichnis und Dateirechte hab ich jetzt jeweils auf root:root und 0700 gesetzt und dann die Zugriffsrechte für die Lese- und Schreiberechtigungen über die ACLs gesetzt... Ergebnis: funkioniert auf den ersten Blick ganz wunderbar



# file: Kundenzeichnung
# owner: root
# group: root
user::rwx
group::---
group:cax_kunden:r-x
group:cax_kunden_w:rwx
mask::rwx
other::---




# file: 11147.xls
# owner: root
# group: root
user::rwx
group::---
group:cax_kunden:r-x
group:cax_kunden_w:rwx
mask::rwx
other::---


Mal schauen was passiert wenn das System in den produktiven Einsatz geht.

HBtux
13.12.11, 21:28
Schön, dass es Dir weitergeholfen hat.....

Einen kleinen Tipp noch.

Bei Dateien kannst Du in der Regel das "x" Recht weglassen, da z.B. die xls-Datei unter Linux nicht ausführbar sein muss.
Es macht zwar nichts, wenn das "x" gesetzt ist, es fällt aber eher unter die Kategorie "Schönheitsfehler".

Beim Verzeichnis hingegen braucht man unter Linux das "x"-Recht, um in das Verzeichnis wechseln zu können.

Standard-Mask für Schreibzugriff....


Verzeichnisse = 0770 = drwxrwx--- = Mask rwx
Dateien = 0660 = -rw-rw---- = Mask rw-


Standard-Mask für Nur Lesezugriff....


Verzeichnisse = 0550 = dr-xr-x--- = Mask r-x
Dateien = 0440 = -r--r----- = Mask r--