samba mit acl unter fedora core 10

Dieses Thema im Forum "RedHat,Fedora & CentOS" wurde erstellt von gnoovy, 01.05.2009.

  1. gnoovy

    gnoovy Eroberer

    Dabei seit:
    20.02.2004
    Beiträge:
    73
    Zustimmungen:
    0
    hi leutz,

    habe samba als domain-member in einer w2k8-domäne eingerichtet. Auf dem Samba-Server ist ein Share mit ext3 formatiert und mittels acl-Unterstützung in /etc/fstab gemountet und in samba freigegeben. Wenn ich nun auf dem Samba-Server mittels setfacl -m d:u:"administrator":rwx /daten (/daten ist das freigegebene Samba-Share) dem Domänenadministrator lese schreibrechte gebe, wird mir dies mittels getfacl /daten angezeigt. (default:user:administrator:rwx) Allerdings sagt mir mein Winxp SP3 Zugriff verweigert. Komischerweise hatte ich beim rumexperimentieren mal Zugriff, Rechte wurden aber nicht richtig vererbt. Was habe ich falsch gemacht? Anbei meine gesamten Konfigurationen:

    smb.conf:
    Code:
    # Samba config file created using SWAT
    # from UNKNOWN (>)
    # Date: 2009/04/30 23:53:24
    
    [global]
    	workgroup = WINNET
    	realm = WINNET.LOCAL
    	server string = 
    	security = ADS
    	password server = w2k8-server.winnet.local
    	passdb backend = tdbsam
    	username map = /etc/samba/smbusers
    	log file = /var/log/samba/log.%m
    	max log size = 50
    	server signing = auto
    	logon path = 
    	logon home = 
    	idmap uid = 10000-20000
    	idmap gid = 10000-20000
    	winbind use default domain = Yes
    
    [datendisk]
    	comment = datendisk
    	path = /daten
    	valid users = @winnet\Domänen-Benutzer, @winnet\Domänen-Admins
    	read only = No
    	acl group control = Yes
    	inherit acls = Yes
    
    /etc/fstab
    Code:
    #
    # /etc/fstab
    # Created by anaconda on Mon Feb 23 22:53:45 2009
    #
    # Accessible filesystems, by reference, are maintained under '/dev/disk'
    # See man pages fstab(5), findfs(8), mount(8) and/or vol_id(8) for more info
    #
    UUID=f8374b58-497e-4171-8973-e31882f8f183 /                       ext3    defaults        1 1
    tmpfs                   /dev/shm                tmpfs   defaults        0 0
    devpts                  /dev/pts                devpts  gid=5,mode=620  0 0
    sysfs                   /sys                    sysfs   defaults        0 0
    proc                    /proc                   proc    defaults        0 0
    UUID=f6a495c2-398b-486a-be66-7ecbaa1d0658 swap                    swap    defaults        0 0
    LABEL=datendisk /daten ext3 defaults,acl 0 2 
    
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. seim

    seim seim oder nicht seim?

    Dabei seit:
    08.09.2006
    Beiträge:
    909
    Zustimmungen:
    0
    Ort:
    /mnt/reallife
    Die Rechte werden nur an alle Ordner vererbt die nach setzen des defaults erstellt wurden.
    Eine Änderung der default-Rechte bewirkt keine rekursive Rechtevergabe durch alle Unterordner

    Und das mit den Windows Standard Accounts ist eh wieder so ein Buch mit 7 und einem Siegel.. Nur mal als Beispiel also ich erstelle auch ein Account "Gast" ohne Passwort - logischerweise müsste Windows sich darin einloggen weil der das bei jeder anderen Freigabe die von Windows ausgeht auch so macht. Es erscheint trotzdem ein Anmeldefenster und wenn ich da "Gast" eingebe und abdrücke ist die Freigabe offen..

    Ich hab' so bisschen das Gefühl als würde Windows intern noch mit Benutzer-ID Nummern arbeiten und wenn Gast jetz ne andre Nummer halt als der Gast von Samba (oder eben Admin.) dann interessiert sich Win. sehr wenig für den Namen
     
  4. #3 gnoovy, 01.05.2009
    Zuletzt bearbeitet: 01.05.2009
    gnoovy

    gnoovy Eroberer

    Dabei seit:
    20.02.2004
    Beiträge:
    73
    Zustimmungen:
    0
    he... also kurz um gesagt alles noch nicht ganz ausgereift, oder? nur warum kann ich jetzt überhaupt nicht mehr auf mein freigegebenes share zugreifen? Da stehe ich noch auf dem Schlauch irgendwie... habe ich in obiger konfig was falsch gemacht?
    .
    .
    .
    EDIT (autom. Beitragszusammenführung) :
    .

    hatte die obige konfiguration aus einem workshop eines linux-magazins. Da wurde auch gesagt, man solle mittels chmod 2770 /<ordner> die rechte für das samba-share setzen. Da wird dann ein s-Attribut mit übergeben. Was genau bedeutet das? bisher kenne ich nur rwx... Habe jetzt aber nochmals alle ACL-Rechte mittels setfacl -R -b /daten entfernt und mittels chmod 000 und anschließendem chmod -s alle Unix-Rechte auf /daten. Danach mittels chmod 770 /daten dem User und Gruppe Root Vollzugriff erteilt. Danach mittels setfacl -R -m u:"administrator":rwx daten/ dem Domänenadministrator Vollzugriff auf /daten gegeben.
    Jetzt funktioniert der Zugriff über mein XP-Client wieder. Ist das jetzt so richtig eingestellt? und warum klappte es vorhin nicht? Hat er Probleme wenn ich ihm mittels setfacl dieses d: mitgebe? Was genau bedeutet hier dieses d:? Irgendwas mit default, nur was sagt default hier aus? ;-) Achja und wieso kann ich nicht über meinem XP-Client die Rechte setzen? (Zugriff verweigert)...
    Unter XP in den Sicherheitseinstellungen wird nun auch der Administrator gelistet. Allerdings mit "speziellen Berechtigungen". Vollzugrif, lesen, schreiben, ausführen, etc. wird hier nicht direkt gelistet. Erst wenn ich unter "spezielle Berechtigungen" weiter reingehe listet er mir dort schreiben, lesen, etc. auf.
    Sorry für die vielen Fragen...
     
  5. seim

    seim seim oder nicht seim?

    Dabei seit:
    08.09.2006
    Beiträge:
    909
    Zustimmungen:
    0
    Ort:
    /mnt/reallife
    Mom kommst du nicht in die Freigabe rein oder hast du in der Freigabe keine Schreibrechte?

    Wenn du nicht reinkommst liegst an Samba wenn du keine Schreibrechte hast evtl. daran, dass der entsprechende User auch im FS die Rechte haben muss die du in Samba gebrauchen willst.

    Also Wenn du einfach mal auf n Ordner chmod 777 machst zum test solltest du da volle Rechte mit jedem Benutzter haben.
    Und beachte auch wenn du individuelle Rechte setzt: Ordner brauchen das x-Flag damit mal darin Lesen kann.


    Und warum man von Windows aus nichts ändern kann? Das frag ich mich schon ne ganze Weile: http://www.unixboard.de/vb3/showthread.php?t=41655
     
  6. #5 gnoovy, 01.05.2009
    Zuletzt bearbeitet: 02.05.2009
    gnoovy

    gnoovy Eroberer

    Dabei seit:
    20.02.2004
    Beiträge:
    73
    Zustimmungen:
    0
    also ich kam mit meinem XP-Client nicht auf die Freigabe drauf (Zugriff verweigert). Dann bin ich ja wie in meinem letzten post, an dem ich viel geändert habe ;-), wieder drauf gekommen. Hast du mir da auf meine Fragestellungen noch ne logische Antwort? Blicke da nämlich noch einige Sachen nicht he...
    .
    .
    .
    EDIT (autom. Beitragszusammenführung) :
    .

    he... also das mit den ACLs unter Windows setzen habe ich jetzt hinbekommen. Eigentlich auch völlig logisch, warums ed funzlt hatte.
    Wenn du unter Unix ein Verzeichnis anlegst, dann ist standardmäßig root als Besitzer eingetragen. Da meine samba-kiste ja nur domain-member ist somit ein lokaler user, den die windows-büchsen net kennen. habe mittels chown administrator /daten den Besitzer gewechselt. Und zack kann ich jetzt die ACLs per Windows konfigurieren.

    @seim
    Bei deinem Problem scheint es mir so als hättest du nur eine Arbeitsgruppe, anstatt Domäne? Folgende Aussage habe ich im Internet gefunden:
    ----
    Auch von Windows-Clients aus können ACLs verändert werden. Diese Möglichkeit besteht nur dann wenn Windows-Rechner über eine eigenständige Domäne verfügen. Die Anpassung der ACLs wird mit Hilfe von Samba realisiert.
    ----

    Kannst du mir vlt. noch bei meinen obrigen Fragestellungen helfen?
     
  7. #6 saeckereier, 02.05.2009
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Kurze Korrektur: Wenn du ein Verzeichnis anlegst, dann gehört es nicht root, sondern dem User, der es anlegt.
     
  8. gnoovy

    gnoovy Eroberer

    Dabei seit:
    20.02.2004
    Beiträge:
    73
    Zustimmungen:
    0
    das stimmt. Vorausgesetzt ich lege einen neuen Ordner mittels eines XP-Clients über Samba auf dem Linux-Server an und das Recht "inherit owner" ist gesetzt. Dann wird der Besitzer der übergeordneten Struktur mit übernommen. Nur eines ist mir hier noch aufgefallen...

    ohne "inherit owner":

    Domänen-Benutzer "test1" legt einen neuen Ordner an. Besitzer ist "test1". Der Domänenadmin wurde automatisch mittels Samba-Option "inherit acls" von oberer Struktur mit vererbt. (Alle Rechte)... Wird nun der Administrator versuchen Berechtigungen auf den neuen Ordner zu ändern, bekommt er Zugriff verweigert...

    mit "inherit owner":
    Nun ist Besitzer des Objektes Administrator. Kann also Berechtigungen ändern, allerdings nun nicht mehr der User "test1", obwohl es angelegt hat.

    Unter Windows kann der User "test1" einen Ordner anlegen, ist ja auch Besitzer und beide, also auch der Admin kann dann auf diesen Ordner Berechtigungen ändern. Kann ich das auch mittels samba nachstellen...?

    Kann mir jemand bei meinen obigen Fragen auch noch helfen...? :-)
     
  9. #8 seim, 02.05.2009
    Zuletzt bearbeitet: 02.05.2009
    seim

    seim seim oder nicht seim?

    Dabei seit:
    08.09.2006
    Beiträge:
    909
    Zustimmungen:
    0
    Ort:
    /mnt/reallife
    Das erklärt natürlich einiges ^.^

    Also zu den Domain Dingern kann ich dir glaub ich nicht viel sagen, weil ich gerade mal weis, dass es etwas mit Benutzerverwaltung übers Netzwerk zutun hat.
    Zum Thema ACLs findest du hier eine gute "Einführung" wenn du das gelesen hast solltest du ein wenig durchblicken ansonsten hab ich mal ein bisschen in der VMware experimentiert.

    Dieses Rätselhafte "d:" das heißt wahrscheinlich default wobei ich das immer mit "setfacl -d ..." mache das setzt dann die default Rechte. Eine andere Bedeutung könnte natürlich directory sein aber das macht kein Sinn (warum sollte es für den einen ein Verzeichnis sein und für den anderen nicht :D).

    Und dieses s-Atribut (SUID-Bit) is ne ganz gefährliche Kiste.. Das s-Atribut bewirkt, dass die Datei mit den Rechten des >Besitzers< und nicht mit den eigenen ausgeführt wird. Also ist root der Besitzer und jmd führt die Datei aus dann.. soweit ist das ja noch gar nicht schlimm aber man sollte denke ich niemals das s-Atribut und w-Rechte für alle bei einer Datei kombinieren ^.^ (jmd verändert das shell Skript und weil das immer als root ausgeführt wird.. naja so leicht is es dann doch nicht, bei Skripten ist das Ding deaktiviert)
     
  10. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  11. #9 gnoovy, 02.05.2009
    Zuletzt bearbeitet: 02.05.2009
    gnoovy

    gnoovy Eroberer

    Dabei seit:
    20.02.2004
    Beiträge:
    73
    Zustimmungen:
    0
    @seim

    wenn du willst unterstütze ich dich dann gerne beim Aufsetzen mit Samba / Windows-Domäne. Im Prinzip habe ich als einziges Problemchen noch, wie ich eine genaue Rechtesimulation wie unter Win hinbekomme. Also Besitzer eines Objektes ist ein eingeschränkter User. Wenn sich Admin anmeldet soll dieser jedoch auch Rechte, etc. ändern können.

    Also im Endefekt wie in meinem letzten Post beschrieben.
    Wenn jemand da ne Idee noch hat, gerne ;-)
    .
    .
    .
    EDIT (autom. Beitragszusammenführung) :
    .

    oki habe nun auch das hinbekommen.
    Samba kann hier mittels der option "acl group control" ;-)
     
  12. gnoovy

    gnoovy Eroberer

    Dabei seit:
    20.02.2004
    Beiträge:
    73
    Zustimmungen:
    0
    hi leutz,

    was ich ganz vergessen habe:
    unter centos hat meine samba-Konfiguration ebenfalls wunderbar funktioniert. Damit die Linux-Büchse in ein ADs kann muss man sie ja mit net join -U Administrator aufnehmen.
    Unter Fedora Core 10 bekomme ich jedoch folgende Fehlermeldung
    ---
    Failed to join domain: failed to connect to AD: Cannot find KDC for requested realm
    ---
    Danach erscheint nochmalige Passwortabfrage und er bringt:
    Joined domain WINNET.
    Allerdings listet er sich nicht im DNS-Manager meiner Windows-Domänencontroller. Muss ich unter Fedora Core noch was beachten? Komischerweise funktioniert dann samba-seitig alles (siehe vorangegangene Posts).
     
Thema:

samba mit acl unter fedora core 10

Die Seite wird geladen...

samba mit acl unter fedora core 10 - Ähnliche Themen

  1. Samba unter Windows 10

    Samba unter Windows 10: Hallo zusammen, ich habe auf meinen Ubuntu Server Samba installiert und eingerichtet. ich kann mich bei Windows 10 mit den Daten anmelden und...
  2. Samba 4 Gast Zugang unter Ubuntu funktioniert nicht

    Samba 4 Gast Zugang unter Ubuntu funktioniert nicht: Hallo zusammen, ich habe unter Ubuntu 14.04 meinen Samba Server konfiguriert wie hier beschrieben um einen Gast Zugang zu einer Freigabe zu...
  3. Falsche Speicheranzeige von Netzlaufwerken unter W7 mit Samba auf Settopbox Enigma 2

    Falsche Speicheranzeige von Netzlaufwerken unter W7 mit Samba auf Settopbox Enigma 2: Hallo zusammen, auf der Suche nach einer Lösung für mein Problem, bin ich auf dieses Forum gestoßen. Da ich mit meinem Latein am Ende bin,...
  4. Drucken unter Samba

    Drucken unter Samba: Hallo, ich habe einen Faxserver der auf der Grundlage eines Samba-Druckers funktioniert. Beim Versenden erzeugt der Windows XP-Anwender eine...
  5. Samba-Profile nach OS unterscheiden

    Samba-Profile nach OS unterscheiden: Moin, ich arbeite mit servergespeicherten Benutzerprofilen und habe nun das Problem, dass mehrere Client Betriebssysteme vorhanden sind. Gibt es...