major28
Goto Top

Probleme mit ACLs bei smb-share von Unterordner

Hallo zusammen,

komme seit ein paar Tagen nicht weiter mit einem SMB Share.
Ich habe eine Linux VM (smb01), welche den Fileserver für eine Windows Domain (ad.realm.de auf Windows Server 2019) spielen soll.
Die smb01 ist Mitglied der Domain und hat einen Mountpoint "/Freigaben" welches als ext4 formatiert ist ist. Unter /Freigaben liegen unterschiedliche Ordner:
A, B, C und TestMount. Ideal wäre es jeweils diese Unterordner als einzelne Shares für bestimmte AD Gruppen freizugeben und das ganze über die Windows Computerverwaltung zu steuern.
Bei der Konfiguration habe ich mich an diese Dokumentation gehalten, die eigentlich genau diesen Fall abbildet:
1

Leider habe ich ein Problem mit der Vererbung von ACLs, grundsätzlich möchte ich, dass auf /Freigaben niemand bzw. nur root:"Domänen-Admins" zugreifen kann. Auf die Unterordner sollen jeweils unterschiedliche AD-Gruppen zugreifen, z.B. Standard-User auf TestMount, Interne-Nutzer auf A usw.
Die Probleme haben mit dem Stammordner /Freigaben zu tun, wenn z.B. folgende Situation ist:

hier die Ausgabe von getfacl für /Freigabe:
root@smb01:/home/smb# getfacl /Freigaben/
getfacl: Entferne führende '/' von absoluten Pfadnamen  
# file: Freigaben/
# owner: root
# group: root
user::rwx
group::rwx
other::---

und getfacl /Freigaben/TestMount/:

root@smb01:/home/smb# getfacl /Freigaben/TestMount/
getfacl: Entferne führende '/' von absoluten Pfadnamen  
# file: Freigaben/TestMount/
# owner: root
# group: domänen-admins
user::rwx
group::rwx
other::---

Können Domänen-Admins nicht auf /Freigaben/TestMount aka \\smb-01\Test123 zugreifen.
Sobald ich den Owner von /Freigaben auf root:Domänen-Admins umstelle, können Domänen-Admins auf den share zugreifen. Meiner Meinung nach haben die Berechtigungen auf /Freigaben zuviel Einfluss auf /Freigaben/TestMount und ich verstehe nicht wieso, es sollte doch möglich sein, einen Unterordner zu sharen.

Habe jetzt auch öfters gelesen, dass NFSv4 ziemlich gut sein soll, weiß jemand ob dieser Use Case mit NFS realisierbar wäre?

Freue mich auf eure Ideen!

hier ist meine smb.conf:
# Global parameters
[global]
        bind interfaces only = Yes
        disable spoolss = Yes
        interfaces = 127.0.0.0/8 enp6s18
        kerberos method = secrets and keytab
        load printers = No
        log file = /var/log/samba/log.%m
        logging = file
        map to guest = Bad User
        max log size = 1000
        obey pam restrictions = Yes
        pam password change = Yes
        panic action = /usr/share/samba/panic-action %d
        passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
        passwd program = /usr/bin/passwd %u
        printcap name = /dev/null
        realm = ad.realm.de
        security = ADS
        server role = member server
        server string = %h server (Samba, Ubuntu)
        template homedir = /home/%U@%D
        template shell = /bin/bash
        unix password sync = Yes
        username map = /usr/local/samba/etc/user.map
        usershare allow guests = Yes
        winbind refresh tickets = Yes
        winbind use default domain = Yes
        workgroup = ad.realm.de
        idmap config * : range = 10000-999999
        idmap config ad.realm.de: backend = rid
        idmap config ad.realm.de: range = 2000000-2999999
        idmap config * : backend = tdb
        map acl inherit = Yes
        printing = bsd
        vfs objects = acl_xattr


[Test123]
        path = /Freigaben/TestMount/
        read only = No

Content-ID: 52984546971

Url: https://administrator.de/forum/probleme-mit-acls-bei-smb-share-von-unterordner-52984546971.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

micneu
micneu 01.09.2024 um 21:48:27 Uhr
Goto Top
Für mich sieht deine Freigabe (config) „Test123“ falsch/unvollständig aus
Meine configs für Freigaben sind alle länger (mehr Einträge)
Am besten schaust du mal in die SAMBA Doku