Samba 4.5.12-Debian Rechtevergabe

S

Shadow27374

Grünschnabel
Hallo zusammen,

wir hatten intern einen Dateiserver mit SerNet-Samba 3.5 und einer Authentifizierung am Active Directory. Das ganze habe ich auf das "original" Samba mit der Version 4.5.12 unter Debian 9.2 aktualisiert.

Dadurch waren die Freigaben erstmal nicht mehr erreichbar, die Authentifizierung funktionierte nicht mehr korrekt. Nach vielem hin und her mit Kerberos und Winbind kam ich leider nicht wieder zum alten Ergebnis. Mit wbinfo -u kann ich mir jedoch alle Benutzer der Domaine anzeigen lassen.

Damit die Kollegen wenigstens wieder arbeiten können, habe ich in der smb.conf auf "security = user" umgestellt und entsprechend per smbpasswd die Sambabenutzer angelegt. Grundsätzlich kann so wieder gearbeitet werden, es bestehen jedoch Rechteprobleme an einigen Stellen die ich mir bislang nicht erklären kann.

Beispiel an zwei Freigaben:

[Datentausch_GL]
comment = Datenaustausch GL
path = /daten/Datentausch_GL
case sensitive = Yes
strict locking = No
create mask = 0660
directory mask = 0770
force group = www-data
force user = www-data
hosts allow = 192.168.67.0/255.255.255.0 172.25.25.0/255.255.255.0
read only = No
valid users = @verwaltung @projektleiter @GL @EDV

Dateisystemrechte von /daten/Datentausch_GL: drwxrwxr-x

[Fertigung]
comment = Fertigung
path = /daten/Fertigung
read only = No
valid users = @laboranten @projektleiter @verwaltung

Dateisystemrechte von /daten/Fertigung: drwxrwxrwx

Diese Freigaben stammen noch aus der vorherigen Version und haben dort korrekt funktioniert.

Mein eigener Benutzeraccount befindet sich in der Gruppe "EDV" und "verwaltung". Somit kann ich auf beide Freigaben zugreifen, schreiben, etc. Dies gilt jedoch nicht für meinen Testbenutzer "test", der momentan in der Gruppe "projektleiter" sitzt. Andere Nutzer innerhalb einer dieser Gruppen können auch nicht mehr auf Fertigung zugreifen, bis ich die Benutzer direkt unter valid users packe. Schreiben können sie dann erst mit den Dateisystemrechten drwxrwxrwx, das war ursprünglich drwxrwx---

Wenn ich den Testbenutzer statt in die Gruppe "projektleiter" in die Gruppe "EDV" packe, funktioniert der Zugriff. Ist er jedoch nur in einer der anderen kommt:

smbclient //localhost/Datentausch_GL
tree connect failed: NT_STATUS_ACCESS_DENIED

Ich habe auch schon versucht mit webmin Samba-Gruppen zu erstellen die dann (so verstehe ich das) auf die Linuxgruppen "zeigen". Leider ebenfalls ohne Erfolg.

Obwohl gewissen Gruppen zugriffsberechtig sind, sind die es nicht.

Kann mir hier jemand auf die Sprünge helfen?
 
Es geht wohl darum, daß Du auf den Multi-Post nicht hingewiesen hast.

Abgesehen davon - hast Du dort echt fast die komplette Mitarbeiter-Liste euere Firma online gestellt?
 
Vermute ich auch, allerdings ist das auch ein anderes Forum.

Zur Frage, ja habe ich. Wenn ich die smb.conf modifiziere, werden möglicherweise Fehler nicht gefunden. Zumal Nachnamen zig tausendfach in Deutschland vorkommen.
 
Na, da hoffe ich mal, daß euer Datenschutzbeauftragter das genau so sieht, sollte ihn jemand darauf aufmerksam machen. Und Dein Vorgesetzter ebenso.

Benutzerlogins stehen nun also wohl schon mal fest. Hoffen wir mal, daß bei euch sichere Passworte Pflicht sind - und keine über Web erreichbaren Zugänge existent.
Abgesehen von ein paar anderne Firmeninterna - von denen Du sicherlich unterschrieben hast, daß Du sie nicht veröffentlichen wirst.

Der Firmenname ist ja trivial abzulesen. Ergibt sich aber auch per Google über einen der etwas ungewöhnlicheren Namen.
Was der Kollege wohl denken wird, wenn er sich ab und zu mal selbst googled und dann dort seinen Namen findet?

Versteh' mich nicht falsch - aber es gibt einen Punkt, an dem man mit Hilfe aus öffentlichen Onlineforen "falsch" liegt und sich evtl. besser einen vertrauenswürdigen Dienstleister heranzieht. Weil sowas eben nicht an die Öffentlichkeit gehört.
 
Es sind nur Benutzernamen, daher verstehe ich das Problem nicht.

Versteh mich ebenfalls nicht falsch.^^
Bei echten Daten wie Anschrift, Alter, private Telefonnummer etc. würde ich das ja verstehen, aber bei (wie Du selbst sagst) ergooglebaren Nachnamen nicht. Zumal die ohnehin öffentlich auf der Webseite stehen.

Edit:
Habe es vorsichtshalber dennoch entfernt.
 
Zuletzt bearbeitet:

Ähnliche Themen

Samba 4.9.5-Debian - Kennwort von unix übernehmen

Samba Dateien und Ordner verschieben

Zugriff Ubuntu 16.04. auf Freigabe 18.04. LTS nicht möglich

Keine Zugriff von Windows 10 auf Sambafreigaben

Zugriff auf Samba Fileserver Freigaben verweigert(Samba 4 Active Directory Domäne)

Zurück
Oben