S
Shadow27374
Grünschnabel
Hallo zusammen,
wir hatten intern einen Dateiserver mit SerNet-Samba 3.5 und einer Authentifizierung am Active Directory. Das ganze habe ich auf das "original" Samba mit der Version 4.5.12 unter Debian 9.2 aktualisiert.
Dadurch waren die Freigaben erstmal nicht mehr erreichbar, die Authentifizierung funktionierte nicht mehr korrekt. Nach vielem hin und her mit Kerberos und Winbind kam ich leider nicht wieder zum alten Ergebnis. Mit wbinfo -u kann ich mir jedoch alle Benutzer der Domaine anzeigen lassen.
Damit die Kollegen wenigstens wieder arbeiten können, habe ich in der smb.conf auf "security = user" umgestellt und entsprechend per smbpasswd die Sambabenutzer angelegt. Grundsätzlich kann so wieder gearbeitet werden, es bestehen jedoch Rechteprobleme an einigen Stellen die ich mir bislang nicht erklären kann.
Beispiel an zwei Freigaben:
[Datentausch_GL]
comment = Datenaustausch GL
path = /daten/Datentausch_GL
case sensitive = Yes
strict locking = No
create mask = 0660
directory mask = 0770
force group = www-data
force user = www-data
hosts allow = 192.168.67.0/255.255.255.0 172.25.25.0/255.255.255.0
read only = No
valid users = @verwaltung @projektleiter @GL @EDV
Dateisystemrechte von /daten/Datentausch_GL: drwxrwxr-x
[Fertigung]
comment = Fertigung
path = /daten/Fertigung
read only = No
valid users = @laboranten @projektleiter @verwaltung
Dateisystemrechte von /daten/Fertigung: drwxrwxrwx
Diese Freigaben stammen noch aus der vorherigen Version und haben dort korrekt funktioniert.
Mein eigener Benutzeraccount befindet sich in der Gruppe "EDV" und "verwaltung". Somit kann ich auf beide Freigaben zugreifen, schreiben, etc. Dies gilt jedoch nicht für meinen Testbenutzer "test", der momentan in der Gruppe "projektleiter" sitzt. Andere Nutzer innerhalb einer dieser Gruppen können auch nicht mehr auf Fertigung zugreifen, bis ich die Benutzer direkt unter valid users packe. Schreiben können sie dann erst mit den Dateisystemrechten drwxrwxrwx, das war ursprünglich drwxrwx---
Wenn ich den Testbenutzer statt in die Gruppe "projektleiter" in die Gruppe "EDV" packe, funktioniert der Zugriff. Ist er jedoch nur in einer der anderen kommt:
smbclient //localhost/Datentausch_GL
tree connect failed: NT_STATUS_ACCESS_DENIED
Ich habe auch schon versucht mit webmin Samba-Gruppen zu erstellen die dann (so verstehe ich das) auf die Linuxgruppen "zeigen". Leider ebenfalls ohne Erfolg.
Obwohl gewissen Gruppen zugriffsberechtig sind, sind die es nicht.
Kann mir hier jemand auf die Sprünge helfen?
wir hatten intern einen Dateiserver mit SerNet-Samba 3.5 und einer Authentifizierung am Active Directory. Das ganze habe ich auf das "original" Samba mit der Version 4.5.12 unter Debian 9.2 aktualisiert.
Dadurch waren die Freigaben erstmal nicht mehr erreichbar, die Authentifizierung funktionierte nicht mehr korrekt. Nach vielem hin und her mit Kerberos und Winbind kam ich leider nicht wieder zum alten Ergebnis. Mit wbinfo -u kann ich mir jedoch alle Benutzer der Domaine anzeigen lassen.
Damit die Kollegen wenigstens wieder arbeiten können, habe ich in der smb.conf auf "security = user" umgestellt und entsprechend per smbpasswd die Sambabenutzer angelegt. Grundsätzlich kann so wieder gearbeitet werden, es bestehen jedoch Rechteprobleme an einigen Stellen die ich mir bislang nicht erklären kann.
Beispiel an zwei Freigaben:
[Datentausch_GL]
comment = Datenaustausch GL
path = /daten/Datentausch_GL
case sensitive = Yes
strict locking = No
create mask = 0660
directory mask = 0770
force group = www-data
force user = www-data
hosts allow = 192.168.67.0/255.255.255.0 172.25.25.0/255.255.255.0
read only = No
valid users = @verwaltung @projektleiter @GL @EDV
Dateisystemrechte von /daten/Datentausch_GL: drwxrwxr-x
[Fertigung]
comment = Fertigung
path = /daten/Fertigung
read only = No
valid users = @laboranten @projektleiter @verwaltung
Dateisystemrechte von /daten/Fertigung: drwxrwxrwx
Diese Freigaben stammen noch aus der vorherigen Version und haben dort korrekt funktioniert.
Mein eigener Benutzeraccount befindet sich in der Gruppe "EDV" und "verwaltung". Somit kann ich auf beide Freigaben zugreifen, schreiben, etc. Dies gilt jedoch nicht für meinen Testbenutzer "test", der momentan in der Gruppe "projektleiter" sitzt. Andere Nutzer innerhalb einer dieser Gruppen können auch nicht mehr auf Fertigung zugreifen, bis ich die Benutzer direkt unter valid users packe. Schreiben können sie dann erst mit den Dateisystemrechten drwxrwxrwx, das war ursprünglich drwxrwx---
Wenn ich den Testbenutzer statt in die Gruppe "projektleiter" in die Gruppe "EDV" packe, funktioniert der Zugriff. Ist er jedoch nur in einer der anderen kommt:
smbclient //localhost/Datentausch_GL
tree connect failed: NT_STATUS_ACCESS_DENIED
Ich habe auch schon versucht mit webmin Samba-Gruppen zu erstellen die dann (so verstehe ich das) auf die Linuxgruppen "zeigen". Leider ebenfalls ohne Erfolg.
Obwohl gewissen Gruppen zugriffsberechtig sind, sind die es nicht.
Kann mir hier jemand auf die Sprünge helfen?