Linux und SAMBA und Zugriffsrechte

[ascotlx]

Hallo zusammmen,
ich plane einen SAMBA Server Fileserver oder vielleicht sogar als DC aufzusetzen.
Die Clients sind aber Mac Arbeitsplätze.

Geplant sind mehrere Verzeichnisse, die Zugriffsrechte sollen über Gruppen geregelt werden.
Bis hier hin klappt es auch... aber ... es gibt Benutzer die in mehreren Gruppen Mitglied sind.

Der Zugriff auf die Verzeichnisse, die Bearbeitung von Daten soll also hauptsächlich über die jeweiligen Gruppen erfolgen, die für den Ordner und die darin enthaltenen Daten bestimmt.
Siehe Schaubild ..
Demnach dürfen erstmal nur die jeweiligen Gruppenmitglieder auf Ihre Verzeichnisse zugreifen. Ausnahme wäre der Benutzer 3 der Mitglieder der Gruppe 1 und 2 ist und Benutzer 1 der Mitglied in der Gruppe 1 und 3 ist.

Kann mir jemand helfen/auf den richtigen Pfad führen/einen Anstups geben ?
Danke schonmal im voraus. (ich hoffe, ich konnte mich verständlich ausdrücken).

ascotlx

[corresponder]

Dann erstell doch mal eine smb.conf als Beispiel.
Es gibt massenhaft Anleitungen im Netz dazu.

Wo ist das Problem, eine fertige smb.conf schreibe ich dir nicht ;-)

[ascotlx]

Hi Corresponder,

so sieht derzeit meine smb.conf aus.
Ich kann mich aber an keinen Share anmelden, wenn diese nicht meine primäre Gruppe is

[global]
logging = file
log file = /var/log/samba/log.%m
server role = standalone server
auto services = Intern Projekt
os level = 20
usershare allow guests = yes
obey pam restrictions = yes
unix password sync = yes
workgroup = WORKGROUP
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
max log size = 1000
pam password change = yes
passwd program = /usr/bin/passwd %u
panic action = /usr/share/samba/panic-action %d
map to guest = bad user

[homes]
comment = Home Directories
browseable = no
read only = yes
create mask = 0700
directory mask = 0700
valid users = %S

[printers]
comment = All Printers
browseable = no
path = /var/spool/samba
printable = yes
guest ok = no
read only = yes
create mask = 0700

[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
browseable = yes
read only = yes
guest ok = no


[Intern]
force group = buchhaltung
writeable = yes
path = /home/share/@intern
directory mode = 770
create mode = 770
user = @buchhaltung,@gf
force group = buchhaltung

[Firma]
directory mode = 770
valid users = @mitarbeiter
user = @mitarbeiter
create mode = 770
writeable = yes
force group = mitarbeiter
path = /home/share/@work

[Projekt]
user = @mitarbeiter,@gf
create mode = 770
valid users = @mitarbeiter,@gf
directory mode = 770
path = /home/share/@projekt
writeable = yes
force group = mitarbeiter

[ascotlx]

So sind die Benutzer angelegt:
uid=1001(mitarbeiter01) gid=1001(mitarbeiter) groups=1001(mitarbeiter),1004(firma)
uid=1004(chef) gid=1003(gf) groups=1003(gf),1001(mitarbeiter),1002(buchhaltung ),1004(firma)
uid=1003(buchhalter01) gid=1002(buchhaltung) groups=1002(buchhaltung),1001(mitarbeiter),1004(fi rma)

Der Benutzer chef kann sich nicht an den Share Firma oder Projekt anmdelden.
Der Benutzer mitarbeiter01 kann sich an Firma anmelden.

[corresponder]

so schaut das hier aus:

Code:

[Mitarbeiter]
        path = /home/mitarbeiter
        comment = mitarbeiter
        browseable = yes
        writeable = yes
        guest ok = no
        create mask = 0660
        force create mode = 0660
        directory mask = 0770
        force directory mode = 0660
        valid users = mitarbeiter1, mitarbeiter2, chef1, chef2
        force group = mitarbeiter-gruppe

[Chefchen]
        path = /home/chefchen
        comment = Chefchen
        browseable = yes
        writeable = yes
        guest ok = no
        create mask = 0660
        force create mode = 0660
        directory mask = 0770
        force directory mode = 0660
        valid users = chef1, chef2
        force group = chefchen-gruppe

cat /etc/group

Code:

mitarbeiter-gruppe:x:1001:chef1,chef2,mitarbeiter1,mitarbeiter2
chefchen-gruppe:x:1002:chef1, chef2

[ascotlx]

Hallo corresponder,
Danke für Deine Hilfe. Leider funktioniert es nicht ...
Hier nochmal meine Konfiguration, vielleicht übersehe ich da ein wichtiges Detail

Ich kann weder mit dem Benutzer buchhaltung01 oder mit chef auf dem Share Intern zugriefen.
Es kommt die lapidare Meldung: Es ist ein Fehler aufgetreten. Überprüfen Sie den Servernamen / IP Adresse.
Auf die beiden anderen Shares kann ich mit allen Benutzern zugreifen.

smb.conf

[Intern]
comment = Firma GF
path = /home/share/@intern
browseable = yes
writable = yes
guest ok = no
create mask = 0660
force create mode = 0660
directory mask = 0770
force directory mode = 0660
valid users = chef, buchhaltung01
force group = buchhaltung

[Firma]
comment = Firma alle
path = /home/share/@work
browsable = yes
writeable = yes
guest ok = no
create mask = 0660
force create mode = 0660
directory mask = 0770
force directory mode = 0660
force group = mitarbeiter

[Projekt]
comment = Firma Projekt
path = /home/share/@projekt
browsable = yes
writeable = yes
guest ok = no
create mask = 0660
force create mode = 0660
directory mask = 0770
force directory mode = 0660
valid users = mitarbeiter01, mitarbeiter02, chef, buchhaltung01
force group = mitarbeiter

Benutzer

uid=1004(chef) gid=1003(gf) groups=1003(gf),1001(mitarbeiter),1002(buchhaltung ),1004(firma)
uid=1001(mitarbeiter01) gid=1001(mitarbeiter) groups=1001(mitarbeiter),1004(firma)
uid=1005(buchhaltung01) gid=1002(buchhaltung) groups=1002(buchhaltung),1001(mitarbeiter),1004(fi rma)

Gruppen

mitarbeiter:x:1001:chef,buchhaltung01
buchhaltung:x:1002:chef,buchhaltung01
gf:x:1003:chef

.. hat jemand eine Idee ??

[FM_81]

Die Berechtigungen auf Dateisystem-Ebene stimmen aber?

Code:

ls -la /home/share/

Gruß, FM_81

[ascotlx]

yep... und mit den anderen Shares funktioniert es ja.

Code:

# ls -la /home/share/

total 24
drwxr-xr-x 6 root root        4096 Sep 18 16:15 .
drwxr-xr-x 9 root root        4096 Sep 18 16:29 ..
drwxrwx--- 2 root gf          4096 Sep 18 16:16 @gf
drwxrwx--- 2 root buchhaltung 4096 Jun 28 14:25 @intern
drwxrwx--- 6 root mitarbeiter 4096 Jun 28 00:02 @projekt
drwxrwx--- 6 root mitarbeiter 4096 Jun 28 00:02 @work

Ich habe auch schon die Gruppe buchhaltung gelöscht und neu angelegt. Das gleiche Ergebnis.
Unter Windows bekomme ich die Meldung, dass ich "eventuell" nicht die Berechtigung habe auf den Share zuzugreifen.
Und als abschließende Meldung: Der Gruppenname konnte nicht gefunden werden.

2023-09-18 18-36-27 AIT win10adm.png
Die anderen Share funktionieren. Ordner werden korrekt angelegt.
Das sind die neu angelegten Ordner als Benutzer chef:

Code:

ls -aldi /home/share/@{gf,projekt,work}/Neue*
1835040 drwxrwx--- 2 chef gf          4096 Sep 18 18:36 '/home/share/@gf/Neuer Ordner'
1835044 -rw-rw---- 1 chef gf             0 Sep 18 18:42 '/home/share/@gf/Neues Textdokument.txt'
1835039 drwxrwx--- 2 chef mitarbeiter 4096 Sep 18 18:36 '/home/share/@projekt/Neuer Ordner'
1835043 -rw-rw---- 1 chef mitarbeiter    0 Sep 18 18:42 '/home/share/@projekt/Neues Textdokument.txt'
1835041 drwxrwx--- 2 chef mitarbeiter 4096 Sep 18 18:37 '/home/share/@work/Neuer Ordner'
1835042 -rw-rw---- 1 chef mitarbeiter    0 Sep 18 18:41 '/home/share/@work/Neues Textdokument.txt'