samba mit acl unter fedora core 10

G

gnoovy

Eroberer
hi leutz,

habe samba als domain-member in einer w2k8-domäne eingerichtet. Auf dem Samba-Server ist ein Share mit ext3 formatiert und mittels acl-Unterstützung in /etc/fstab gemountet und in samba freigegeben. Wenn ich nun auf dem Samba-Server mittels setfacl -m d:u:"administrator":rwx /daten (/daten ist das freigegebene Samba-Share) dem Domänenadministrator lese schreibrechte gebe, wird mir dies mittels getfacl /daten angezeigt. (default:user:administrator:rwx) Allerdings sagt mir mein Winxp SP3 Zugriff verweigert. Komischerweise hatte ich beim rumexperimentieren mal Zugriff, Rechte wurden aber nicht richtig vererbt. Was habe ich falsch gemacht? Anbei meine gesamten Konfigurationen:

smb.conf:
Code:
# Samba config file created using SWAT
# from UNKNOWN (>)
# Date: 2009/04/30 23:53:24

[global]
	workgroup = WINNET
	realm = WINNET.LOCAL
	server string = 
	security = ADS
	password server = w2k8-server.winnet.local
	passdb backend = tdbsam
	username map = /etc/samba/smbusers
	log file = /var/log/samba/log.%m
	max log size = 50
	server signing = auto
	logon path = 
	logon home = 
	idmap uid = 10000-20000
	idmap gid = 10000-20000
	winbind use default domain = Yes

[datendisk]
	comment = datendisk
	path = /daten
	valid users = @winnet\Domänen-Benutzer, @winnet\Domänen-Admins
	read only = No
	acl group control = Yes
	inherit acls = Yes

/etc/fstab
Code:
#
# /etc/fstab
# Created by anaconda on Mon Feb 23 22:53:45 2009
#
# Accessible filesystems, by reference, are maintained under '/dev/disk'
# See man pages fstab(5), findfs(8), mount(8) and/or vol_id(8) for more info
#
UUID=f8374b58-497e-4171-8973-e31882f8f183 /                       ext3    defaults        1 1
tmpfs                   /dev/shm                tmpfs   defaults        0 0
devpts                  /dev/pts                devpts  gid=5,mode=620  0 0
sysfs                   /sys                    sysfs   defaults        0 0
proc                    /proc                   proc    defaults        0 0
UUID=f6a495c2-398b-486a-be66-7ecbaa1d0658 swap                    swap    defaults        0 0
LABEL=datendisk /daten ext3 defaults,acl 0 2
 
Die Rechte werden nur an alle Ordner vererbt die nach setzen des defaults erstellt wurden.
Eine Änderung der default-Rechte bewirkt keine rekursive Rechtevergabe durch alle Unterordner

Und das mit den Windows Standard Accounts ist eh wieder so ein Buch mit 7 und einem Siegel.. Nur mal als Beispiel also ich erstelle auch ein Account "Gast" ohne Passwort - logischerweise müsste Windows sich darin einloggen weil der das bei jeder anderen Freigabe die von Windows ausgeht auch so macht. Es erscheint trotzdem ein Anmeldefenster und wenn ich da "Gast" eingebe und abdrücke ist die Freigabe offen..

Ich hab' so bisschen das Gefühl als würde Windows intern noch mit Benutzer-ID Nummern arbeiten und wenn Gast jetz ne andre Nummer halt als der Gast von Samba (oder eben Admin.) dann interessiert sich Win. sehr wenig für den Namen
 
he... also kurz um gesagt alles noch nicht ganz ausgereift, oder? nur warum kann ich jetzt überhaupt nicht mehr auf mein freigegebenes share zugreifen? Da stehe ich noch auf dem Schlauch irgendwie... habe ich in obiger konfig was falsch gemacht?
.
.
.
EDIT (autom. Beitragszusammenführung) :
.

hatte die obige konfiguration aus einem workshop eines linux-magazins. Da wurde auch gesagt, man solle mittels chmod 2770 /<ordner> die rechte für das samba-share setzen. Da wird dann ein s-Attribut mit übergeben. Was genau bedeutet das? bisher kenne ich nur rwx... Habe jetzt aber nochmals alle ACL-Rechte mittels setfacl -R -b /daten entfernt und mittels chmod 000 und anschließendem chmod -s alle Unix-Rechte auf /daten. Danach mittels chmod 770 /daten dem User und Gruppe Root Vollzugriff erteilt. Danach mittels setfacl -R -m u:"administrator":rwx daten/ dem Domänenadministrator Vollzugriff auf /daten gegeben.
Jetzt funktioniert der Zugriff über mein XP-Client wieder. Ist das jetzt so richtig eingestellt? und warum klappte es vorhin nicht? Hat er Probleme wenn ich ihm mittels setfacl dieses d: mitgebe? Was genau bedeutet hier dieses d:? Irgendwas mit default, nur was sagt default hier aus? ;-) Achja und wieso kann ich nicht über meinem XP-Client die Rechte setzen? (Zugriff verweigert)...
Unter XP in den Sicherheitseinstellungen wird nun auch der Administrator gelistet. Allerdings mit "speziellen Berechtigungen". Vollzugrif, lesen, schreiben, ausführen, etc. wird hier nicht direkt gelistet. Erst wenn ich unter "spezielle Berechtigungen" weiter reingehe listet er mir dort schreiben, lesen, etc. auf.
Sorry für die vielen Fragen...
 
Zuletzt bearbeitet:
Mom kommst du nicht in die Freigabe rein oder hast du in der Freigabe keine Schreibrechte?

Wenn du nicht reinkommst liegst an Samba wenn du keine Schreibrechte hast evtl. daran, dass der entsprechende User auch im FS die Rechte haben muss die du in Samba gebrauchen willst.

Also Wenn du einfach mal auf n Ordner chmod 777 machst zum test solltest du da volle Rechte mit jedem Benutzter haben.
Und beachte auch wenn du individuelle Rechte setzt: Ordner brauchen das x-Flag damit mal darin Lesen kann.


Und warum man von Windows aus nichts ändern kann? Das frag ich mich schon ne ganze Weile: http://www.unixboard.de/vb3/showthread.php?t=41655
 
also ich kam mit meinem XP-Client nicht auf die Freigabe drauf (Zugriff verweigert). Dann bin ich ja wie in meinem letzten post, an dem ich viel geändert habe ;-), wieder drauf gekommen. Hast du mir da auf meine Fragestellungen noch ne logische Antwort? Blicke da nämlich noch einige Sachen nicht he...
.
.
.
EDIT (autom. Beitragszusammenführung) :
.

he... also das mit den ACLs unter Windows setzen habe ich jetzt hinbekommen. Eigentlich auch völlig logisch, warums ed funzlt hatte.
Wenn du unter Unix ein Verzeichnis anlegst, dann ist standardmäßig root als Besitzer eingetragen. Da meine samba-kiste ja nur domain-member ist somit ein lokaler user, den die windows-büchsen net kennen. habe mittels chown administrator /daten den Besitzer gewechselt. Und zack kann ich jetzt die ACLs per Windows konfigurieren.

@seim
Bei deinem Problem scheint es mir so als hättest du nur eine Arbeitsgruppe, anstatt Domäne? Folgende Aussage habe ich im Internet gefunden:
----
Auch von Windows-Clients aus können ACLs verändert werden. Diese Möglichkeit besteht nur dann wenn Windows-Rechner über eine eigenständige Domäne verfügen. Die Anpassung der ACLs wird mit Hilfe von Samba realisiert.
----

Kannst du mir vlt. noch bei meinen obrigen Fragestellungen helfen?
 
Zuletzt bearbeitet:
Kurze Korrektur: Wenn du ein Verzeichnis anlegst, dann gehört es nicht root, sondern dem User, der es anlegt.
 
das stimmt. Vorausgesetzt ich lege einen neuen Ordner mittels eines XP-Clients über Samba auf dem Linux-Server an und das Recht "inherit owner" ist gesetzt. Dann wird der Besitzer der übergeordneten Struktur mit übernommen. Nur eines ist mir hier noch aufgefallen...

ohne "inherit owner":

Domänen-Benutzer "test1" legt einen neuen Ordner an. Besitzer ist "test1". Der Domänenadmin wurde automatisch mittels Samba-Option "inherit acls" von oberer Struktur mit vererbt. (Alle Rechte)... Wird nun der Administrator versuchen Berechtigungen auf den neuen Ordner zu ändern, bekommt er Zugriff verweigert...

mit "inherit owner":
Nun ist Besitzer des Objektes Administrator. Kann also Berechtigungen ändern, allerdings nun nicht mehr der User "test1", obwohl es angelegt hat.

Unter Windows kann der User "test1" einen Ordner anlegen, ist ja auch Besitzer und beide, also auch der Admin kann dann auf diesen Ordner Berechtigungen ändern. Kann ich das auch mittels samba nachstellen...?

Kann mir jemand bei meinen obigen Fragen auch noch helfen...? :-)
 
@seim
Bei deinem Problem scheint es mir so als hättest du nur eine Arbeitsgruppe, anstatt Domäne? Folgende Aussage habe ich im Internet gefunden:
----
Auch von Windows-Clients aus können ACLs verändert werden. Diese Möglichkeit besteht nur dann wenn Windows-Rechner über eine eigenständige Domäne verfügen. Die Anpassung der ACLs wird mit Hilfe von Samba realisiert.
----

Kannst du mir vlt. noch bei meinen obrigen Fragestellungen helfen?

Das erklärt natürlich einiges ^.^

Also zu den Domain Dingern kann ich dir glaub ich nicht viel sagen, weil ich gerade mal weis, dass es etwas mit Benutzerverwaltung übers Netzwerk zutun hat.
Zum Thema ACLs findest du hier eine gute "Einführung" wenn du das gelesen hast solltest du ein wenig durchblicken ansonsten hab ich mal ein bisschen in der VMware experimentiert.

Dieses Rätselhafte "d:" das heißt wahrscheinlich default wobei ich das immer mit "setfacl -d ..." mache das setzt dann die default Rechte. Eine andere Bedeutung könnte natürlich directory sein aber das macht kein Sinn (warum sollte es für den einen ein Verzeichnis sein und für den anderen nicht :D).

Und dieses s-Atribut (SUID-Bit) is ne ganz gefährliche Kiste.. Das s-Atribut bewirkt, dass die Datei mit den Rechten des >Besitzers< und nicht mit den eigenen ausgeführt wird. Also ist root der Besitzer und jmd führt die Datei aus dann.. soweit ist das ja noch gar nicht schlimm aber man sollte denke ich niemals das s-Atribut und w-Rechte für alle bei einer Datei kombinieren ^.^ (jmd verändert das shell Skript und weil das immer als root ausgeführt wird.. naja so leicht is es dann doch nicht, bei Skripten ist das Ding deaktiviert)
 
Zuletzt bearbeitet:
@seim

wenn du willst unterstütze ich dich dann gerne beim Aufsetzen mit Samba / Windows-Domäne. Im Prinzip habe ich als einziges Problemchen noch, wie ich eine genaue Rechtesimulation wie unter Win hinbekomme. Also Besitzer eines Objektes ist ein eingeschränkter User. Wenn sich Admin anmeldet soll dieser jedoch auch Rechte, etc. ändern können.

Also im Endefekt wie in meinem letzten Post beschrieben.
Wenn jemand da ne Idee noch hat, gerne ;-)
.
.
.
EDIT (autom. Beitragszusammenführung) :
.

oki habe nun auch das hinbekommen.
Samba kann hier mittels der option "acl group control" ;-)
 
Zuletzt bearbeitet:
hi leutz,

was ich ganz vergessen habe:
unter centos hat meine samba-Konfiguration ebenfalls wunderbar funktioniert. Damit die Linux-Büchse in ein ADs kann muss man sie ja mit net join -U Administrator aufnehmen.
Unter Fedora Core 10 bekomme ich jedoch folgende Fehlermeldung
---
Failed to join domain: failed to connect to AD: Cannot find KDC for requested realm
---
Danach erscheint nochmalige Passwortabfrage und er bringt:
Joined domain WINNET.
Allerdings listet er sich nicht im DNS-Manager meiner Windows-Domänencontroller. Muss ich unter Fedora Core noch was beachten? Komischerweise funktioniert dann samba-seitig alles (siehe vorangegangene Posts).
 

Ähnliche Themen

Zugriff Ubuntu 16.04. auf Freigabe 18.04. LTS nicht möglich

Problem bei der Vergabe von Sciherheitsinformationen auf eine Freiagbe

Zugriff auf Samba Fileserver Freigaben verweigert(Samba 4 Active Directory Domäne)

Samba 4.1.11 Domänen anbindung funktioniert nicht !!!

Samba 4 AD Member Server

Zurück
Oben