1
Probleme mit ACLs bei smb-share von Unterordner
Hallo zusammen,
komme seit ein paar Tagen nicht weiter mit einem SMB Share.
Ich habe eine Linux VM (smb01), welche den Fileserver für eine Windows Domain (ad.realm.de auf Windows Server 2019) spielen soll.
Die smb01 ist Mitglied der Domain und hat einen Mountpoint "/Freigaben" welches als ext4 formatiert ist ist. Unter /Freigaben liegen unterschiedliche Ordner:
A, B, C und TestMount. Ideal wäre es jeweils diese Unterordner als einzelne Shares für bestimmte AD Gruppen freizugeben und das ganze über die Windows Computerverwaltung zu steuern.
Bei der Konfiguration habe ich mich an diese Dokumentation gehalten, die eigentlich genau diesen Fall abbildet:
1
Leider habe ich ein Problem mit der Vererbung von ACLs, grundsätzlich möchte ich, dass auf /Freigaben niemand bzw. nur root:"Domänen-Admins" zugreifen kann. Auf die Unterordner sollen jeweils unterschiedliche AD-Gruppen zugreifen, z.B. Standard-User auf TestMount, Interne-Nutzer auf A usw.
Die Probleme haben mit dem Stammordner /Freigaben zu tun, wenn z.B. folgende Situation ist:
hier die Ausgabe von getfacl für /Freigabe:
und getfacl /Freigaben/TestMount/:
Können Domänen-Admins nicht auf /Freigaben/TestMount aka \\smb-01\Test123 zugreifen.
Sobald ich den Owner von /Freigaben auf root:Domänen-Admins umstelle, können Domänen-Admins auf den share zugreifen. Meiner Meinung nach haben die Berechtigungen auf /Freigaben zuviel Einfluss auf /Freigaben/TestMount und ich verstehe nicht wieso, es sollte doch möglich sein, einen Unterordner zu sharen.
Habe jetzt auch öfters gelesen, dass NFSv4 ziemlich gut sein soll, weiß jemand ob dieser Use Case mit NFS realisierbar wäre?
Freue mich auf eure Ideen!
hier ist meine smb.conf:
komme seit ein paar Tagen nicht weiter mit einem SMB Share.
Ich habe eine Linux VM (smb01), welche den Fileserver für eine Windows Domain (ad.realm.de auf Windows Server 2019) spielen soll.
Die smb01 ist Mitglied der Domain und hat einen Mountpoint "/Freigaben" welches als ext4 formatiert ist ist. Unter /Freigaben liegen unterschiedliche Ordner:
A, B, C und TestMount. Ideal wäre es jeweils diese Unterordner als einzelne Shares für bestimmte AD Gruppen freizugeben und das ganze über die Windows Computerverwaltung zu steuern.
Bei der Konfiguration habe ich mich an diese Dokumentation gehalten, die eigentlich genau diesen Fall abbildet:
1
Leider habe ich ein Problem mit der Vererbung von ACLs, grundsätzlich möchte ich, dass auf /Freigaben niemand bzw. nur root:"Domänen-Admins" zugreifen kann. Auf die Unterordner sollen jeweils unterschiedliche AD-Gruppen zugreifen, z.B. Standard-User auf TestMount, Interne-Nutzer auf A usw.
Die Probleme haben mit dem Stammordner /Freigaben zu tun, wenn z.B. folgende Situation ist:
hier die Ausgabe von getfacl für /Freigabe:
root@smb01:/home/smb# getfacl /Freigaben/
getfacl: Entferne führende '/' von absoluten Pfadnamen
# file: Freigaben/
# owner: root
# group: root
user::rwx
group::rwx
other::---und getfacl /Freigaben/TestMount/:
root@smb01:/home/smb# getfacl /Freigaben/TestMount/
getfacl: Entferne führende '/' von absoluten Pfadnamen
# file: Freigaben/TestMount/
# owner: root
# group: domänen-admins
user::rwx
group::rwx
other::---Können Domänen-Admins nicht auf /Freigaben/TestMount aka \\smb-01\Test123 zugreifen.
Sobald ich den Owner von /Freigaben auf root:Domänen-Admins umstelle, können Domänen-Admins auf den share zugreifen. Meiner Meinung nach haben die Berechtigungen auf /Freigaben zuviel Einfluss auf /Freigaben/TestMount und ich verstehe nicht wieso, es sollte doch möglich sein, einen Unterordner zu sharen.
Habe jetzt auch öfters gelesen, dass NFSv4 ziemlich gut sein soll, weiß jemand ob dieser Use Case mit NFS realisierbar wäre?
Freue mich auf eure Ideen!
hier ist meine smb.conf:
# Global parameters
[global]
bind interfaces only = Yes
disable spoolss = Yes
interfaces = 127.0.0.0/8 enp6s18
kerberos method = secrets and keytab
load printers = No
log file = /var/log/samba/log.%m
logging = file
map to guest = Bad User
max log size = 1000
obey pam restrictions = Yes
pam password change = Yes
panic action = /usr/share/samba/panic-action %d
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
passwd program = /usr/bin/passwd %u
printcap name = /dev/null
realm = ad.realm.de
security = ADS
server role = member server
server string = %h server (Samba, Ubuntu)
template homedir = /home/%U@%D
template shell = /bin/bash
unix password sync = Yes
username map = /usr/local/samba/etc/user.map
usershare allow guests = Yes
winbind refresh tickets = Yes
winbind use default domain = Yes
workgroup = ad.realm.de
idmap config * : range = 10000-999999
idmap config ad.realm.de: backend = rid
idmap config ad.realm.de: range = 2000000-2999999
idmap config * : backend = tdb
map acl inherit = Yes
printing = bsd
vfs objects = acl_xattr
[Test123]
path = /Freigaben/TestMount/
read only = No
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 52984546971
Url: https://administrator.de/contentid/52984546971
Ausgedruckt am: 21.11.2024 um 20:11 Uhr
1 Kommentar
Für mich sieht deine Freigabe (config) „Test123“ falsch/unvollständig aus
Meine configs für Freigaben sind alle länger (mehr Einträge)
Am besten schaust du mal in die SAMBA Doku
Meine configs für Freigaben sind alle länger (mehr Einträge)
Am besten schaust du mal in die SAMBA Doku
