PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Nach Aktivierung von ACL's. Berechtigung um Freigabe zu "betreten"



pixel
13.07.15, 11:26
Hallo zusammen,

da meine Netze immer recht überschaubar sind und die Anzahl der Nutzer auch nicht all zu hoch kam ich bisher immer ohne ACL's im Samba-Umfeld aus. Die Fragben waren immer auf Gruppen abgebildet d.h. jede Freigabe gehörte einer oder meheren Gruppen die mittels:

...
valid users = @gruppe1,@gruppe2,root
...
für die einzeln Gruppen zugänglich gemacht wurde. Das System war einfach zu konfigurieren.

Nun benötige ich in einem Fall ACL's auf der Freigabe "projekte" Diese soll wie bisher für die Gruppen "technik" und "buchhaltung" zugänglich sein (Vollzugriff). Ein neuer Benutzer Namens "pruefung" soll nun auf 4 Unterverzeichnis (inkl allem was darunter liegt) von "projekte" Lesezugriff haben. Hieran scheitere ich schon ein paar Tage.

Auf Dateisystem-Ebene (Linux) sieht es wie folg aus:

/dev/vdb1 /data ext4 acl,noatime,user_xattr 1 2
So ist die Datenpartition eingebunden. Deren Rechte habe ich testweise mal auf 777 (ohne Subfolder) gesetzt:

drwxrwxrwx 19 root root 4096 1. Okt 2014 data/
UNterhalt von /data liegen die Freigaben udn auch die Freigabe "projekte" um die es geht:

drwxrwx---+ 57 root allusers 4096 7. Jul 08:21 projekte/
die ACL's sehen so aus:

tux20:/data # getfacl projekte/
# file: projekte/
# owner: root
# group: allusers
user::rwx
user:root:rwx
user:pruefung:r-x
group::---
group:allusers:---
group:buchhaltung:rwx
group:technik:rwx
mask::rwx
other::---
default:user::rwx
default:user:root:rwx
default:group::---
default:group:allusers:---
default:group:buchhaltung:rwx
default:group:technik:rwx
default:mask::rwx
default:other::---
Und die Freigabe in der smb.conf:

[projekte]
browseable = Yes
comment = Projekte
force create mode = 0770
force directory mode = 0770
force group = technik
force user = root
path = /data/projekte
read only = No
valid users = @technik,@buchhaltung,root
store dos attributes = Yes
vfs objects = acl_xattr
acl check permissions = Yes
acl map full = Yes
nt acl support = Yes
Muss nun der Benutzer "pruefung" in "valid users" hinzugefügt werden damit er die Freigabe überhaupt "betreten" kann d.h. das Laufwerk verbinden und den Inhalt zu listen?

Daran scheitere ich nämlich. Windows meldet "Zugriff verweigert".

Viele Grüße
pixel