PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba ignoriert "create mode" und "directory mode"



hartkorn
30.05.12, 18:52
Hallo zusammen,

ich habe ein recht merkwürdiges Problem mit Samba (3.4.3-1.40.3) auf SuSE als Domänenmitglied in einer Win2k8R2-Domäne.

Ich stelle z.B. create mode für ein Share (oder Global) auf 0770 und Samba erstellt Files mit 0660. directory mode stelle ich ebenfalls auf 0770 und Ordner werden mit 0710 erstellt.

Als Workaround habe ich ein Script, welches mir jede Minute die Berechtigungen anpasst. Das kann aber nicht des Rätsels Lösung sein?!

Jemand eine Idee dazu?

Thorashh
30.05.12, 19:03
Moin

Die Einstellung macht genau das was sie soll. Die erlaubten Bits festlegen.
Du suchst "force create mode", "force directory mode"

Thorashh

hartkorn
31.05.12, 09:40
Hallo Thorashh,

leider haben force create mode und force directory mode den selben Effekt. :-(

Hier meine smb.conf:


[global]
workgroup = INTERN
server string = FILE00 - Samba Server Version %v
netbios name = FILE00

# --------------------------- Logging Options
log level = 3

# logs split per machine
log file = /var/log/samba/%m.log

# max 50KB per log file, then rotate
max log size = 50

# ----------------------- Domain Members Options
security = ADS
realm = INTERN.LOCAL
encrypt passwords = yes

winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
winbind nested groups = Yes
winbind separator = +
idmap uid = 200-20000000
idmap gid = 200-20000000
obey pam restrictions = Yes

template shell = /sbin/nologin
follow symlinks = Yes

allow trusted domains = Yes
server signing = mandatory
client signing = mandatory
client use spnego = Yes
ntlm auth = Yes
lanman auth = No

create mask = 0775
directory mask = 0775

veto oplock files = /*.kdbx/*.mdb/*.MDB/*.dbf/*.DBF/*.db/
# ----------------------- Browser Control Options
preferred master = no
local master = no
# --------------------------- Printing Options
load printers = no
printcap name = /etc/printcap

[group]
comment = Gruppen-Laufwerk
available = yes
path = /shares/group
writeable = yes
browseable = yes
create mask = 0660
directory mask = 0760
invalid users = root bin daemon adm sync shutdown halt mail news sys uusp operator gopher
group = @INTERN+dl_fs_intern_mitarbeiter
valid users = @INTERN+dl_fs_intern_mitarbeiter
admin users = @INTERN+backupuser @INTERN+domänen-admins

pibi
31.05.12, 11:31
leider haben force create mode und force directory mode den selben Effekt. :-(Entweder habe ich Tomaten auf den Augen oder Du hast etwas falsch verstanden. Auszug aus meiner smb.conf (auch mit AD-Anbindung):
# File: diese Bits duerfen fuer neue Files MAXIMAL gesetzt werden
create mode = 600
# File: diese Bits werden fuer neue Files MINDESTENS gesetzt
force create mode = 600

# Directory: diese Bits duerfen MAXIMAL gesetzt werden
directory mode = 700
# Directory: diese Bits werden MINDESTENS gesetzt
force directory mode = 700

Gruss Pit.

hartkorn
31.05.12, 11:51
Hi pibi,

ich meine, ich hätte auch dies ausprobiert. ich checke das heute abend noch mal. Vielen Dank erst mal.

melde mich, wenn ich ein Ergebnis habe. :-)

hartkorn
01.06.12, 23:08
ok, bin grade dabei.

habe in global

# MAXIMUM bits for creating files
create mask = 0777
# MAXIMUM bits for creating directories
directory mask = 0777

stehen und aufm Share

force create mode = 770
force directory mode = 770


Es werden Files und Folder mit 744 erstellt. Das kann doch nicht sein!?

Was mache ich falsch?

pibi
03.06.12, 13:46
Hast Du samba nach der Aenderung neu gestartet? Bist Du sicher, das Du das richtige smb.conf editierst? Baue mal einen Fehler ein (zB. Syntaxfehler) und schaue, ob das Samba danach immer noch startet.

Gruss Pit.

hartkorn
04.06.12, 11:25
Hallo pibi,

das ist alles geschehen. Ich lasse auch immer schön brav testparm laufen, bevor ich den Daemon neu starte.

Ich versteh's einfach nicht... Ich bin mir (fast) sicher, dass die Konfiguration mit den Berechtigungen anfangs auch einwandfrei funktioniert hatte.

Kann es sein, dass Windows da irgendwo falsche Berechtigungen forciert oder das setfacl irgendwie Mist gemacht hat.

Hier mal getfacl /share/group


# file: shares/group/
# owner: backupuser
# group: dl_fs_intern_mitarbeiter
user::rwx
group::rwx
other::---

Das was angezeigt wird ist auch korrekt!

pibi
04.06.12, 15:26
Ich versteh's einfach nicht...Wie ich bereits oben schrub: Bist Du sicher, dass Du das richtige smb.conf editierst? Benenne das Share einmal um oder baue einen Syntaxfehler ein. Wird der Fehler erkannt?

Gruss Pit.

hartkorn
04.06.12, 15:34
Hi pibi,

jawohl, das habe ich getan. Es ist die richtige smb.conf. Wenn ich die force-Einträge raus nehme verhält sich SAMBA, wie oben von mir beschrieben anders, jedoch nicht so wie konfiguriert.

ohne force-modes:
Files werden erstellt mit 660
Directories werden erstellt mit 710

mit force-modes:
Files und Directories werden erstellt mit 744

L00NIX
08.06.12, 10:03
Also in der Manpage steht:


create mask (S)

Und das (S) steht für Share, also benutze die Parameter auch dort und nicht unter [global].

In dem Share bei dir werden die Parameter ja wieder überschrieben


[group]
comment = Gruppen-Laufwerk
available = yes
path = /shares/group
writeable = yes
browseable = yes
create mask = 0660
directory mask = 0760
invalid users = root bin daemon adm sync shutdown halt mail news sys uusp operator gopher
group = @INTERN+dl_fs_intern_mitarbeiter
valid users = @INTERN+dl_fs_intern_mitarbeiter
admin users = @INTERN+backupuser @INTERN+domänen-admins

...oder ist das bereits angepasst?

Gruß
L00NIX

hartkorn
12.06.12, 21:23
Hi L00NIX,

ich hatte für die Optionen beides ausprobiert. Der letzte Stand war, dass beides im Share steht. So ist es jetzt auch weiterhin:


[group]
comment = Gruppen-Laufwerk
available = yes
path = /shares/group
writeable = yes
browseable = yes
create mask = 0770
directory mask = 0770
force create mode = 0770
force directory mode = 0770
invalid users = root bin daemon adm sync shutdown halt mail news sys uusp operator gopher
group = @INTERN+dl_fs_intern_mitarbeiter
valid users = @INTERN+dl_fs_intern_mitarbeiter
admin users = @INTERN+backupuser @INTERN+domänen-admins

Nach dem Einspielen von ein paar SuSE-Updates und Neustart des Servers ging die Konfig soweit auch, wie sie soll.

Allerdings, wenn ich einen neuen Ordner erstelle, wird dieser weiterhin mit den falschen Berechtigungen angelegt (750). Benenne ich den gleich um, sind die Berechtigungen korrekt (770). Damit kann ich leben. Wenn einer "Neuer Ordner" anlegt, ist er selbst schuld.

Leider weiß ich jetzt nicht, was genau geholfen hat: Neustart, Updates, Beten, Warten...

Vielen Dank an ALLE für die Hilfe!!!