woenk0
Goto Top

Mal wieder SMBv1 zu SMBv2 bei Windows

Gibt es eine Möglichkeit einen Windows Fileshare (SMBv2) unter Linux einzuhängen und dabei die Original Berechtigungen zu bewaren ?
Geht um eine Umstellung auf einen 2019er Fileserver, allerdings sollen auf die Shares auch XP Rechner zugreifen können, SMBv1 sollte allerdings auf dem Fileserver deaktiviert sein.
Sprich, User meldet sich an den Linux Share mit seinen AD Zugangsdaten an und hat die selben Berechtigungen wie auf den Originalshare.
(ich weiss das XP weggehört, aber es gibt leider wohl einige Produktionsanlagen für die es angeblich keinen Ersatz gibt).
Ich hab testweise es mit einer Synology ausprobiert, allerdings schleift die nicht die Berechtigungen durch sondern vergibt auf den Share die eigenen.
https://serverfault.com/questions/212000/can-samba-support-full-windows- ... scheint der richtige Ansatz zu sein, allerdings scheint es schon stark aufwendig die Gruppen zuwandlen und irgendwie habe ich nicht so wirklich das Gefühl das es zuverlässig läuft.

Content-Key: 2413767859

Url: https://administrator.de/contentid/2413767859

Printed on: June 24, 2024 at 09:06 o'clock

Member: GrueneSosseMitSpeck
GrueneSosseMitSpeck Apr 05, 2022 updated at 17:39:50 (UTC)
Goto Top
Anmelden: Ja. Windows Rechte: eher nein.

Vom Prinzip her bietet Linux in Dateieystemen nur Userrechte, Gruppenrechte und "andere". Auf Windows würde man sagen "everyone". Und die im Dateisystem vergebbare Rechte sind auch nicht so fein unterteilt - das sind 3 Bits und jedes Bit steht für ein Recht, ich meine Lesen, Schreiben und ausführen 1= Lesen 2= schreiben 4=ausführen (Skripte und Programme), ein CHMOD 770 in einem Ordner würde dem Owner des Ordners, Gruppenmitglieder der verrechteten Gruppe Vollzugriff geben und jeder der nicht den beiden Gruppen angehört, garnichts.
Member: TK1987
TK1987 Apr 06, 2022 at 06:49:03 (UTC)
Goto Top
Moin,

Zitat von @GrueneSosseMitSpeck:
Vom Prinzip her bietet Linux in Dateieystemen nur Userrechte, Gruppenrechte und "andere". Auf Windows würde man sagen "everyone". Und die im Dateisystem vergebbare Rechte sind auch nicht so fein unterteilt - das sind 3 Bits und jedes Bit steht für ein Recht, ich meine Lesen, Schreiben und ausführen 1= Lesen 2= schreiben 4=ausführen (Skripte und Programme), ein CHMOD 770 in einem Ordner würde dem Owner des Ordners, Gruppenmitglieder der verrechteten Gruppe Vollzugriff geben und jeder der nicht den beiden Gruppen angehört, garnichts.
das ist nur das Standardverhalten. Auch für Linux-Dateisystemen lässt sich ACL entweder nachinstallieren (z.B. bei Debian oder Ubuntu), oder ist sogar bereits von Haus aus an Bord und braucht nur aktiviert zu werden (z.B. bei Arch). So kann man auch dort die Rechte deutlich feiner für einzelne Benutzer oder Gruppen definieren.

Gibt es eine Möglichkeit einen Windows Fileshare (SMBv2) unter Linux einzuhängen und dabei die Original Berechtigungen zu bewaren ?
Bei Cifs gibt es dafür eigentlich die Mountoption cifsacl. Siehe hierzu auch Permissions In Microsoft Services for UNIX v3.0

Gruß Thomas
Member: Lochkartenstanzer
Lochkartenstanzer Apr 06, 2022 updated at 08:33:17 (UTC)
Goto Top
Zitat von @GrueneSosseMitSpeck:

Anmelden: Ja. Windows Rechte: eher nein.

Vom Prinzip her bietet Linux in Dateieystemen nur Userrechte, Gruppenrechte und "andere".

Stimmt schon lange nicht mehr. Inzwischen gibt es auch unter Unix-Dateisystemen acls. Die kann man ähnlich wie unter Windows sehr granular setzen. Man muß es halt ordentlich konfigurieren, daß die ACLs der importierten Filesysteme auch genutzt werden. Die meisten Admins ignorieren diese aber und nutzen nur owner, group und other.

lks

PS zur Frage des TO: Ja, man kann es so konfigurieren, das die ACLs weitergegeben werden.
Member: WoenK0
WoenK0 Apr 12, 2022 at 17:22:58 (UTC)
Goto Top
Bischen recherchiert und alles was da so rauskommt schreibt mir dann was ins AD....nicht prickelnd und bei den Änderungen die MS so macht auch nicht zukunftsträchtig.
Schätze mal der Workaround über die Synolgy ist das einzig halbwegs sinnvolle, kann ich wenigstens den Share per AD absichern, mus halt umstrukturiert werden, glaube eh das die Fertigungsmaschinen auf zu viel zugreifen was sie nicht benötigen.

Trotzdem Danke für den Input...leider immer noch nicht alles einfach in heterogenen Umgebungen ... die Werbung von Univention lässt das alles viel leichter aussehen :D