Samba und das Ausführen von Dateien

**Wikinger666** · 02.04.04, 09:10

Hi

Wir haben hier ein recht heterogenes Netzwerk aus mehreren WinXP-, Win2000-, und Linux-Clients.
Auf dem Linux-Server läuft Samba 2.2.8a unter Suse 8.1.
Jetzt habe ich das Problem, daß auf keiner der u.g. shares eine ausführbare Datei gestartet werden kann.
Selbstverständlich sind die Rechte zum Ausführen der Dateien auf dem Server eingetragen.
Die Leute können Exe-Dateien auf den Server in einen Ordner schreiben, die von dort aber nicht ausführen. Zurückkopieren auf den Client funktioniert auch...dort kann man sie dann natürlich ausführen.

Hat jemand ne Idee, woran das liegen kann?

smb.conf:

# Global parameters
[global]
workgroup = WORK
netbios name = SERVER
server string = Abteilungsserver
encrypt passwords = Yes
min passwd length = 3
username map = /usr/local/samba/users.map
username level = 10
unix password sync = Yes
restrict anonymous = Yes
log level = 2
log file = /var/log/samba.log
time server = Yes
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_RCVBUF=8192 SO_SNDBUF=8192
printcap name = cups
mangling method = hash2
preferred master = Yes
domain master = Yes
guest account = smbguest
printer admin = administrator maik
create mask = 0770
security mask = 0770
directory mask = 0770
directory security mask = 0770
hosts allow = XXX.XXX.XXX.0/255.255.255.XXX
printing = cups

[herberg]
comment = Daten Herberg
path = /home/herberg/
valid users = herberg
read only = No
create mask = 0700
security mask = 0700
directory mask = 0700
directory security mask = 0700

[Sekretariat]
comment = Sekretariat
path = /home/sekret
valid users = sanne, herberg
admin users = root, herberg
read only = No

[Download]
comment = Downloads zur allgemeinen Verfügung
path = /home/download
valid users = agbiochem, administrator, herberg, maik, frank, carsten, sanne, root, nicole
admin users = administrator, herberg, maik, root
read list = agbiochem, administrator, herberg, maik, frank, carsten, sanne, root, nicole
write list = agbiochem, administrator, herberg, maik, frank, carsten, sanne, root, nicole
read only = No
force create mode = 0770
force directory mode = 0770
inherit permissions = Yes
guest ok = Yes

[Abt.Biochemie]
comment = Daten Abt. Biochemie
path = /home/biochemie
valid users = agbiochem, administrator, herberg, maik, frank, carsten, sanne, root, nicole
admin users = administrator, herberg, root
read list = agbiochem, administrator, herberg, maik, frank, carsten, sanne, root, nicole
write list = agbiochem, administrator, herberg, maik, frank, carsten, sanne, root, nicole
force user = agbiochem
force group = biochem
read only = No
inherit permissions = Yes
inherit acls = Yes
short preserve case = No
dos filemode = Yes
dos filetimes = Yes

[InterChk]
comment = Sophos CID
path = /InterChk
valid users = sweepupd, root, administrator, agbiochem, herberg
admin users = sweepupd, root, administrator, herberg
read list = sweepupd, root, administrator, agbiochem, herberg
write list = sweepupd, root, administrator, agbiochem, herberg
force user = sweepupd
force group = biochem
read only = No
create mask = 0775
force create mode = 0770
security mask = 0775
directory mask = 0775
force directory mode = 0770
directory security mask = 0775
inherit permissions = Yes
guest ok = Yes
short preserve case = No
dos filemode = Yes
dos filetimes = Yes

[printers]
comment = All Printers
path = /var/spool/samba
create mask = 0700
guest ok = Yes
printable = Yes
print command = lpr-cups -P %p -o raw %s -r
lpq command = lpstat -o %p
lprm command = cancel %p-%j
use client driver = Yes
browseable = No

[print$]
comment = Printer Drivers
path = /etc/samba/drivers
valid users = agbiochem, administrator, herberg, maik, frank, carsten, sanne, root, nicole
admin users = administrator, herberg, maik, root
write list = root
force create mode = 0770
force directory mode = 0770

[test]
comment = Testshare
path = /testshare
guest account =
valid users = test
read only = No
inherit permissions = Yes

Gruß

**Blade** · 06.04.04, 09:53

ich denke, Du hast das Recht auf AUSFÜHREN ... EXECUTE
für die Verzeichnisse nicht korrekt gesetzt.
Probiers mal damit ...

force create mode = 777
create mode = 777
force directory mode = 666
directory mode = 777

Grüße Blade

**Wikinger666** · 06.04.04, 10:43

Moin

Naja, ich gebe zu, das die Verzeichnisrechte mit 666 (660) wohl besser bestückt sind...aber...ich habe natürlich auch die Rechte schonmal mit 777 gefahren, nur möchte ich nur dem Nutzer und der Gruppe Zugriffsrechte einräumen. Läuft leider trotzdem nicht.
Ich fürchte, ich habe in Samba schon soviel rumgebastelt, daß ich irgendwo ne unauffällige Option gesetzt habe, die das ausführen verhindert...
Ich weiß nur beim besten Willen nicht wo das sein sollte....kann das vielleicht an den DOS-Kompatibilitäts-Modi liegen? Obwohl ich mir recht sicher bin, das ich das auch schon mal ausprobiert habe...Und irgendwie hat dann gleich der einzige WinME-User geweint, daß er nicht mehr auf diverse Verzeichnisse kommt.
Mittlerweile denke ich darüber nach, das ganze System zu plätten und einfach ganz neu und sauber zu installieren...nur hab ich keinen Bock auf ne Wochenendschicht...

Gruß

**Destroyer69** · 06.04.04, 10:48

[daten]
#ein beliebiger Kommentar zum freigegebenen Verzeichnis
comment = Datenverzeichnis für alle

#Pfadangabe des freizugebenen Verzeichnisses
#(Verzeichnisname und Freigabename ([daten]) müssen nicht unbedingt gleich sein)
path = /pfad/zum/verzeichnis

#alle neu erstellten Daten bekommen ein bestimmtes "Rechtemuster"
create mask = 0750
#oder
;create mode = 0750

#Schreibzugriff definieren
read only = no

#Bestimmen ob das Verzeichnis für die Öffentlichkeit zugänglich ist
public = no

#Bestimmen ob das Verzeichnis beim Browsen durch die Netzwerkumgebung zu sehen ist
browseable = yes

...... damit funktioniert das ausführen von .exe Dateien auf den Windowsclienten bei mir

**Wikinger666** · 06.04.04, 10:57

Tja, hmm...

Freut mich ehrlich, daß es bei dir läuft....aber das sind zum grossen Teil Standardeinstellungen (public/browseable).
Die sind bei mir laut SWAT auch gesetzt...läuft aber trotzdem nicht...

Offensichtlich scheint mein Conf-File also fehlerfrei zu sein !?

Dann folgt daraus wohl WE-Schicht...*heul*

Gruß

**jado** · 06.04.04, 12:56

Nochmal zurück... Woran erkennt Windows, ob eine Datei ausführbar ist oder nicht?
Ob auf UNIX-Seite das x-bit gesetzt ist oder nicht, spielt doch keine Rolle.
Hauptsache der Windows-Client kann die Datei lesen und sie hat die entsprechende Endung.

Da würde ich jetzt mal ansetzen und nach der Ursache suchen.
Hast du schon mal über den Command-Prompt auf dem Share "dir /x"
abgesetzt?

**Wikinger666** · 06.04.04, 13:12

Moin

Ja, hab ich, aber was soll da passieren ?
Wenn ich unter der Kommandozeile beim prompt (Datei: Setup.exe) Setup eingebe, kommt schlicht "Zugriff verweigert".
Unter der Oberfläche erzählt er mir was von nicht vorhandenen Rechten.
Kopieren geht, schreiben geht. Ausführen einer Datei geht nicht.
Ich logge mich aber als Admin-User ein...will sagen, der User hat unter der Samba-Share Admin-Rechte.
Das Problem besteht auch auf allen Clients...darum schließe ich ein Client-seitiges Problem eher mal aus.

Ich meine, es könnte durchaus auch ein Login-Problem sein, da ich mit anderen, neuangelegten Usern, extreme Loginprobleme habe, obwohl Name/Passwort-seitig alles stimmen sollte (habs zigmal überprüft).
Aber warum kann ich dann als Admin auf die Share loggen, aber nichts ausführen?

Desweiteren bin ich schon der Meinung, daß man Execute-Rechte im Linux-Baum haben muß, damit die Datei überhaupt vom Server her als ausführbar getagged ist.

Gruß

**jado** · 06.04.04, 15:41

http://lists.samba.org/archive/samba...ry/079274.html

**Blade** · 06.04.04, 19:11

Hi Wikinger666,

Du hast Dir fast die Antwort selbst gegeben. Hast Du auch mal die gesetzten User-Rechte für die Verzeichnisse unter LINUX überprüft? Wenn die nicht stimmen, kannst Du unter Samba Rechten eintragen was Du willst, und es funzt net korrekt. Die unter LINUX eingetragenen Verzeichnis-Rechte gehen vor den Verzeichnis-Rechten unter SAMBA.

Teste mal den Befehl an der Konsole:

chmod -R 777 /deinverzeichnis

-R steht dabei, so dass die Rechte auch für alle Unterverzeichnisse gelten.

Grüße Blade

**Wikinger666** · 07.04.04, 08:12

Hi Blade

Danke, für's kümmern.
Ich bin zwar kein Linux Crack, aber mittlerweile bin ich schon etwas fit.
Das mit den Unix-Rechten habe ich natürlich schon mit allen erdenkbaren Varianten bis zum erbrechen durchgeführt.
Ich tippe irgendwie auf ein Mißverständnis zwischen Samba-Rechten und Linux-Rechten. Mich interessiert, ob's da noch Einstellungen ausserhalb der create mode / directory Möglichkeiten gibt.
Liegts vielleicht daran, daß ich weder LDAP noch WINS nutze?

Mittlerweile bin ich eh schon ziemlich überzeugt davon, daß ich die komplette Linux/Samba-Installation irgendwie verknorkelt habe, da ich am Anfang viel mit Unwissen am Server hantiert habe (trial & error)...

Gruß

**jado** · 07.04.04, 09:59

Dein Problem hat weder etwas mit LDAP noch mit WINS zu tun!

WINS dient nur der Namensauflösung (was bei dir ja funktioniert)

LDAP ist nur eine andere (komplexere) Art die Samba-SAM zu verwalten.

btw: Da hier alle auf dem x-Bit rumexperimentieren.
Hat einer von euch schon mal was von
- map system
- map hidden
- map archive
gehört? Damit klärt sich, dass das x-Bit das auf UNIX-Seite gesetzt
wird, auf Windows-Seite (bei no) gar keine oder (bei yes) eine ganz
andere Rolle spielt.
In dem Artikel, den ich gepostet habe, hat auch der Samba-Support
ausgesagt, dass beim (Lese-/Ausführe-)Zugriff auf ein Samba-Share
nur das UNIX-(read)-Bit ausgewertet wird.

Was steht denn nun eigentlich in den Logs (log.smbd , messages) wenn
jemand versucht vom Samba-Share ein Programm zu starten?

**Wikinger666** · 07.04.04, 11:03

Ok, danke.
Damit wäre das wohl ausgeschlossen.
Nachdem ich gerade mal schnell einen Präzedenzfall geschaffen, und sofort darauf das Logfile gefilzt habe, hier der Auszug:

[2004/04/07 11:57:09, 2] smbd/dosmode.c:unix_mode(59)
unix_mode(.) inheriting from .
[2004/04/07 11:57:09, 2] smbd/dosmode.c:unix_mode(67)
unix_mode(.) inherit mode 40770
[2004/04/07 11:57:09, 2] smbd/dosmode.c:unix_mode(59)
unix_mode(printpro-4.4.1-windows.exe) inheriting from .
[2004/04/07 11:57:09, 2] smbd/dosmode.c:unix_mode(67)
unix_mode(printpro-4.4.1-windows.exe) inherit mode 40770
[2004/04/07 11:57:09, 2] smbd/open.c

pen_file(247)
Administrator opened file printpro-4.4.1-windows.exe read=Yes write=No (numopen=2)
[2004/04/07 11:57:09, 2] smbd/close.c:close_normal_file(229)
administrator closed file printpro-4.4.1-windows.exe (numopen=1)
[2004/04/07 11:57:09, 2] smbd/dosmode.c:unix_mode(59)
unix_mode(printpro-4.4.1-windows.exe) inheriting from .
[2004/04/07 11:57:09, 2] smbd/dosmode.c:unix_mode(67)
unix_mode(printpro-4.4.1-windows.exe) inherit mode 40770
[2004/04/07 11:57:09, 2] smbd/open.c

pen_file(247)
Administrator opened file printpro-4.4.1-windows.exe read=Yes write=No (numopen=2)
[2004/04/07 11:57:09, 2] smbd/server.c:exit_server(511)
Closing connections
[2004/04/07 11:57:11, 0] smbd/reply.c:reply_sesssetup_and_X(912)
restrict anonymous is True and anonymous connection attempted. Denying access.
[2004/04/07 11:57:11, 2] smbd/close.c:close_normal_file(229)
administrator closed file printpro-4.4.1-windows.exe (numopen=1)
[2004/04/07 11:57:11, 2] smbd/dosmode.c:unix_mode(59)
unix_mode(printpro-4.4.1-windows.exe) inheriting from .
[2004/04/07 11:57:11, 2] smbd/dosmode.c:unix_mode(67)
unix_mode(printpro-4.4.1-windows.exe) inherit mode 40770
[2004/04/07 11:57:11, 2] smbd/open.c

pen_file(247)
Administrator opened file printpro-4.4.1-windows.exe read=Yes write=No (numopen=2)
[2004/04/07 11:57:11, 2] smbd/close.c:close_normal_file(229)
administrator closed file printpro-4.4.1-windows.exe (numopen=1)
[2004/04/07 11:57:11, 2] smbd/dosmode.c:unix_mode(59)
unix_mode(printpro-4.4.1-windows.exe) inheriting from .
[2004/04/07 11:57:11, 2] smbd/dosmode.c:unix_mode(67)
unix_mode(printpro-4.4.1-windows.exe) inherit mode 40770
[2004/04/07 11:57:11, 2] smbd/open.c

pen_file(247)
Administrator opened file printpro-4.4.1-windows.exe read=Yes write=No (numopen=2)
[2004/04/07 11:57:11, 2] smbd/dosmode.c:unix_mode(59)
unix_mode(printpro-4.4.1-windows.exe.Manifest) inheriting from .
[2004/04/07 11:57:11, 2] smbd/dosmode.c:unix_mode(67)
unix_mode(printpro-4.4.1-windows.exe.Manifest) inherit mode 40770
[2004/04/07 11:57:11, 2] smbd/close.c:close_normal_file(229)
administrator closed file printpro-4.4.1-windows.exe (numopen=1)

Irgendwie nicht richtig informativ, aber ich denke (korrigiert mich, wenn ich mich täusche), das problem ist der DOS-Mode, oder?
Es handelt sich ja meistens um Files, die nicht der 8.3 Konvention entsprechen...da wird er sich natürlich beschweren. Ich werd gleich mal das file umbenennen...

Hat leider nix gebracht....

Gruß

**jado** · 07.04.04, 12:02

Wenn du auch die Vermutung hast, dass es an langen Dateinamen liegt, dann könntest du ja nochmal "dir /x" absetzen und die 8.3-Namen mit den langen vergleichen.
Vielleicht ist da ja doch was auffälliges.

Sonst ist mir im Log noch das aufgefallen:
[2004/04/07 11:57:11, 0] smbd/reply.c:reply_sesssetup_and_X(912)
restrict anonymous is True and anonymous connection attempted. Denying access.

Obwohl du die ganze Zeit als Admin arbeitest, erscheint
plötzlich ein "anonymous" - Wo kommt der her??

greez

**Wikinger666** · 07.04.04, 12:12

Ja, dieses Mysterium würde ich gerne auch erklären...
Ich hab den "restrict anonymous" mal auf no gesetzt...totzdem gehts nicht.
Was mich wundert ist, daß er offensichtlich keine User- und Group-ID überträgt. Das finde ich sehr seltsam.
dir /x bringt nix neues...

Gruß