c0d3.r3d
Goto Top

Samba-AD - Samba Share mit deaktivierter Vererbung und expliziten Ordnerberechtigungen

Guten Abend zusammen!

Seit mehreren Tagen versuche ich mich in die Linux Server Welt einzuarbeiten - in meiner Freizeit. Bisher habe ich nur Windows Server administrieren können / dürfen. Bei dem Nachbau eines Windows-AD´s mit Samba bin ich jedoch nun auf ein Problem gestoßen - die Ordnerberechtigungen.

Folgende Struktur existiert exemplarisch in der Windows Umgebung:

Ordner "Userprofiles" mit einem Unterordner "Personalleitung" und "Mitarbeiter". Der Ordner "Userprofiles" ist für jeden mit Vollzugriff freigegeben. Im Reiter Sicherheit sind die Gruppen "Domänen-Admins", "Administratoren" sowie "System" eingetragen. Bei den Ordner "Personalleitung" und "Mitarbeiter" ist die Vererbung der Ordnerberechtigungen deaktiviert, sodass explizite Berechtigungen gesetzt sind. Auf den Ordner "Mitarbeiter" haben die Benutzer der Gruppe Mitarbeiter Vollzugriff, neben den Dom-Admins, den normalen Admins und der Gruppe System. Das selbe in Grün für Personalleitung.
Wird nun über die Adressleiste versucht mit "\\servername\Userprofiles" von einem Mitarbeiter diesen Pfad aufzurufen, bekommt er die Meldung, dass er keine Zugriffsrechte für diesen Ordner besitzt. Ergänzt er jedoch nun noch ein Mitarbeiter dahinter, sodass "\\servername\Userprofiles\Mitarbeiter" in der Adressleiste sieht, erhält er Zugriff auf diesen Ordner und kann den Inhalt des Ordners sehen. Bitte keine Diskussion ob dies Datenschutzkonform ist - dies ist nur ein Beispiel von meiner Seite - der Ordner könnte auch Mettbrötchen o. ä. heißen.

Diese Struktur (Ordnerberechtigungen) habe ich exakt 1:1 auf einem Debian 10 mit funktionsfähigen Samba AD über einen Windows 10 Client eingerichtet. Versuche ich nun auf den Ordner Mitarbeiter auf dem selben Pfad, wie oben zuzugreifen, greift direkt die Beschränkung vom Ordner "Userprofiles", welches ist als normaler Nutzer, wegen den gesetzten Berechtigungen nicht aufrufen darf. In weitere Unterordner, wo der Benutzer Vollzugriff hat habe ich keine Möglichkeit zuzugreifen, da bereits ab der ersten Ordnerberechtigung, worauf ich keinen Zugriff habe der weitere Zugriff dicht gemacht wird.

Hier noch der Auszug aus der smb.conf
[Userprofiles]
        path = /media/daten/samba-share/Userprofiles
        read only = No
        create mask = 0775
        force create mode = 775
        security mask = 775
        force security mode = 775
        directory mask = 2775
        force directory mode = 2775
        directory security mask = 2775
        force directory security mode = 2775

Ich habe es ursprünglich mit den ersten 3 Zeilen probiert und nach Recherche im Netz diese anderen Zeilen hinzufügt. Zugegebenermaßen bin ich noch ein kompletter Linux Neuling, also noch am lernen. Über ABE-System habe ich mich bereits informiert, dieses würde ich aber ungerne verwenden.


Beste Grüße

Content-Key: 537491

Url: https://administrator.de/contentid/537491

Printed on: March 1, 2024 at 18:03 o'clock

Mitglied: 142232
142232 Jan 21, 2020 updated at 10:25:24 (UTC)
Goto Top
Seit mehreren Tagen versuche ich mich in die Linux Server Welt einzuarbeiten
Dann solltest du dir diesen Artikel mal ganz in Ruhe zu Gemüte führen, dann verstehst du das es so was wie eine Vererbung unter Linux nicht gibt ein User aber zumindest Execute(x) Rechte in der Ordnerkette besitzen muss um in einen Ordner zu wechseln, Leserechte(r) sind nur dort erforderlich wo er auch den Inhalt sehen soll face-smile.
Rechte im Dateisystem – mehr als nur r,w,x
Member: c0d3.r3d
c0d3.r3d Jan 22, 2020 at 18:41:14 (UTC)
Goto Top
Hi,

danke für deinen Link. Ich habe nun etwas rum experimentiert, es klappt aber immer noch nicht. Der Ordner Userprofiles gehört dem Benutzer root und hat nun über chmod den Wert 770 zugewiesen bekommen. Der Ordner Mitarbeiter wiederum ebenfalls 770 und gehört der Gruppe Mitarbeiter. Ein Zugriff ist jedoch trotzdem nicht möglich. In Windows wird auch angezeigt, dass der Ordner der Gruppe Mitarbeiter gehört. Muss ich unter Linux eine Gruppe Mitarbeiter erstellen, sowie die Benutzer und die Ordnerbesitzer festlegen, oder reicht dies über die RSAT-Tools (Benutzer und Gruppe) und den Windows-Explorer um Ordnerbesitzer festzulegen?
Member: c0d3.r3d
c0d3.r3d Jan 24, 2020 at 20:18:26 (UTC)
Goto Top
Keiner eine Idee?

Ich bin nun mittlerweile soweit, dass ich folgende Struktur erreicht habe.

Physikalische Festplatte
Ordner "Domänenname" (771)--> root ist Besitzer
-- Userprofiles (771)--> root ist Besitzer
-- -- Mitarbeiter (771) --> root ist Besitzer
-- -- -- Testuser (777) --> Benutzer Testuser ist Besitzer

Mit dieser Konfiguration, durch die 1 am Ende, was für das x, also Execute steht, sollte doch eigentlich möglich, dass der Nutzer Testuser auf seinen eigenen Ordner Zugreifen kann, oder nicht?

Hat da jmd eine Idee, wie die smb.conf auszusehen hat, sowie die Ordnerrechte? Trotz mehrfachem lesen der Anleitung von serial funktioniert es einfach nicht.

Grüße