diwaffm
Goto Top

Nicht passende Rechte auf Samba-Freigab

Hi Leute,

ich habe hier einen openSUSE Server auf dem ein Samba läuft.
Auf die Freigaben dieses Samba greifen 10 Win7 Rechner (bzw. deren Nutzer) zu.

Auf die meisten Verzeichnisse am Server haben alle Nutzer Zugriff. Dazu sind sie der Gruppe FIRMA zugeordnet.
Die Gruppe FIRMA hat auf diesen Verzeichnissen volle Rechte.

Nun habe ich EINEN Nutzer, bei dem sich AB UND ZU die Rechte von Dateien ändern.
Das betrifft sowohl Dateien, die dieser Nutzer selbst erstellt hat als auch (im geringeren Ausmaß) auf solche, die er nur geöffnet und gesichert hat.

Das Problem äußert sich immer so, dass Besitzer und Gruppe der entsprechende Datei auf "root" steht.

So konnte der Nutzer heute in Excel eine Datei bearbeiten und als PDF speichern und dieses PDF dann auch an eine Mail anhängen.
Am Nachmittag waren dann aber die Zugriffsrechte sowohl der Excel- als auch der PDF-Datei geändert, so dass er keinen Zugriff mehr hatte...

Das betrifft ausschließlich diesen einen Nutzer.
Ich sehe aber keinen Unterschied in den Nutzereigenschaften. Weder in Samba, noch unter Linux...

Any Ideas?

Ciao

dirk

Content-ID: 347104

Url: https://administrator.de/contentid/347104

Ausgedruckt am: 22.11.2024 um 03:11 Uhr

Snowman25
Snowman25 23.08.2017 um 17:42:29 Uhr
Goto Top
Zitat von @diwaffm:

Hi Leute,
Hallo @diwaffm,

Nun habe ich EINEN Nutzer, bei dem sich AB UND ZU die Rechte von Dateien ändern.
Das betrifft sowohl Dateien, die dieser Nutzer selbst erstellt hat als auch (im geringeren Ausmaß) auf solche, die er nur geöffnet und gesichert hat.
Das Problem äußert sich immer so, dass Besitzer und Gruppe der entsprechende Datei auf "root" steht.
Aha. Da würde ich gleich mal in /etc/samba/smb.conf folgende Parameter überprüfen:
  • force group
  • force create mode
  • create mask

Ciao
dirk

Gruß,
@Snowman25
fredmy
fredmy 23.08.2017, aktualisiert am 24.08.2017 um 08:40:02 Uhr
Goto Top
Hallo,
ans SetGroupID-Bit gedacht ? Bei der Verzeichniserstellung (?)

wenn du @Snowman s Überprüfungen machst.
Hmm ... und warum werkelt "root" da mit rum ?

Bei mehreren Einheiten hat es sich auch als klug herausgestellt, dass alle Gruppen (+ GID) immer unique sind!

Fred
Snowman25
Snowman25 24.08.2017 um 10:26:32 Uhr
Goto Top
Bei mehreren Einheiten hat es sich auch als klug herausgestellt, dass alle Gruppen (+ GID) immer unique sind!
Das sollte bei Win7 Clients und einem Unix-Server kein Problem darstellen, da Windows 128-bit GUIDs verwendet, wohingegen Unix 16-bit UID + GIDs verwendet.
Wenn allerdings die gleichen Gruppen über mehrere Server verfügbar sein sollen, empfiehlt sich die Verwendung eines LDAP-Servers, der diese verwaltet.
diwaffm
diwaffm 25.08.2017 um 18:02:50 Uhr
Goto Top
Es gibt nur einen Linux-Server...
diwaffm
diwaffm 25.08.2017 um 18:03:46 Uhr
Goto Top
OK, muss ich schauen. Ich meine, da sei nichts gesetzt.

Warum ist das dann bei 9 Usern kein Problem und bei dem einen schon?
diwaffm
diwaffm 25.08.2017 um 18:06:09 Uhr
Goto Top
Der Samba wurde am Server als "root" installiert?
Das wäre die einzige Verbindung zu "root", die mir einfällt...

Die Verzeichnisse wurde alle von (verschiedenen) Windows Rechnern aus erstellt. Probleme gibt es nur bei Dateien eines Nutzers...

Was meinst Du mit "mehreren Einheiten"? Meherere Server? Ist hier nicht der Fall...

ciao

dirk
fredmy
fredmy 26.08.2017 um 10:35:31 Uhr
Goto Top
Zitat von @diwaffm:

Der Samba wurde am Server als "root" installiert?
Das wäre die einzige Verbindung zu "root", die mir einfällt...

Die Verzeichnisse wurde alle von (verschiedenen) Windows Rechnern aus erstellt. Probleme gibt es nur bei Dateien eines Nutzers...

Und dieser Nutz hat identische Usereinstellungen wie alle anderen ?
(speziell bei Groups)

Was meinst Du mit "mehreren Einheiten"? Mehrere Server? Ist hier nicht der Fall...
Wenn du das FIRMA so betonst, muss es ausserhalb FIRMA noch eine andere Struktur geben - legt zumindest der Text nahe.

Vermutlich hat dein "unbekannter User" [warum benennst du die nicht ? userA, userB usw.] andere Einstellungen ( z.B. -g und -G ) , ein fehlendes GUID-Bit tut dann das übrige; zumal es unter Samba 2 Abhänigigkeiten zu beachten gibt!
Einmal das (unixoide)Dateisystem und zum anderen das "Samba-Filesystem", also die Abbildung von DOS/Win Rechten auf Unix. Beide Zugriffsmechanismen[Samba, Unix] "leben" unabhänig voneinander!
Das muss zueinander passen, und IIRR war da auch was mit dem recursiv-Flag beim Setzen.

Sollte bei nur einer Maschine einfach sein.

Fred
diwaffm
diwaffm 18.10.2017 um 11:07:53 Uhr
Goto Top
Zitat von @fredmy:
Und dieser Nutz hat identische Usereinstellungen wie alle anderen ?
(speziell bei Groups)

Ja, er hat eine zusätzliche Gruppenmitgliedschaft, die aber 2 von den anderen 9 Usern (ohne Probleme) auch haben.


Was meinst Du mit "mehreren Einheiten"? Mehrere Server? Ist hier nicht der Fall...
Wenn du das FIRMA so betonst, muss es ausserhalb FIRMA noch eine andere Struktur geben - legt zumindest der Text nahe.

Nein, FIRMA ist die Gruppe, in der alle Nutzer Mitglied sind.
Alle für alle zugänglichen Verzeichnisse "gehören" der Gruppe FIRMA. Die darin liegenden Dateien gehören dann dem User NUTZER und der Gruppe FIRMA.

Vermutlich hat dein "unbekannter User" [warum benennst du die nicht ? userA, userB usw.] andere Einstellungen ( z.B. -g und -G ) , ein fehlendes GUID-Bit tut dann das übrige; zumal es unter Samba 2 Abhänigigkeiten zu beachten gibt!

In den Benutzer-Eigenschaften, sehe ich zwischen dem betroffenen Nutzer (meinetwegen "userA") und den anderen keinen Unterschied.
Die Reihenfolge der Gruppenzuordnungen in YAST sollte ja keine Rolle spielen, oder?
Die 3 User mit komplett identischen Gruppenzuordnungen sind alle zeitgleich erstellt worden und wurden nachträglich auch nicht verändert..
fredmy
fredmy 18.10.2017 um 20:23:08 Uhr
Goto Top

Ja, er hat eine zusätzliche Gruppenmitgliedschaft, die aber 2 von den anderen 9 Usern (ohne Probleme) auch haben.

Primäre oder Memberzugehörigkeit ?



Nein, FIRMA ist die Gruppe, in der alle Nutzer Mitglied sind.
Alle für alle zugänglichen Verzeichnisse "gehören" der Gruppe FIRMA. Die darin liegenden Dateien gehören dann dem User NUTZER und der Gruppe FIRMA.

nach meinen "Übungen" sollten sie keinem Nutzer gehören... SUID Bit verwenden !

Die Reihenfolge der Gruppenzuordnungen in YAST sollte ja keine Rolle spielen, oder?
na ja... Files werden IIRR mit den primären Einstellungen erzeugt
[ user1, gruppe: root, users] ist was anders als [user1, gruppe: users, root]
zumindest solange du in den Verzeichnissen nicht eine bestimmte Zuordnung erzwingst (dafür gibts SUID und GUID )

Nichtbeachten von FORCE-Regeln in der smc.conf und Gruppenreihenfolge der Usererzeugung haben mich anfanggs auch etwas ins Schleudern gebracht.
Rahmen: 8 Standorte mit localen SMB-Maschinen, bei denen einige Verzeichnisse gesynct wurden bzw. auf andere Standorte zugegriffen wurde. Bei (anfangs) 2Mbits aDSL (= 180kBits upload) machten Direktzugriffe "keinen Spass" auf entfernte Standorte und da > 90% der Daten eh nur local bearbeitet wurden war es erträglich wenn bei entfernten Zugriffen Geduld angesagt war, zumal es eh nur aller paar Wochen vorkam!


Die 3 User mit komplett identischen Gruppenzuordnungen sind alle zeitgleich erstellt worden und wurden nachträglich auch nicht verändert..

wenn sie identisch eingerichtet sind, verhalten sie sich identisch. An der Stelle halte ich nicht viel von Yast face-smile
Einrichten mittels Kommandozeile und mit den numerischen IDs - die Übersetzung zu den Namen darf gern später bei der Anzeige (z.B. ls ) stattfinden face-smile wobei IIRR die Reihenfolge bei den Gruppen, wo man Member ist glaube ich egal war.

Natürlich müssen die Verzeichnisse auch die gesetzten Rechte korrekt vererben (wichtig für Copy)

Fred