michi1983
Goto Top

Samba Benutzerverwaltungsproblem

Hallo Leute,
ich brauch wieder mal eure Hilfe!

ich hab grad ein logik problem meinerseits.

angenommen ich hab 6 mitarbeiter und einen chef.

die 6 mitarbeiter haben alle ein home verzeichnis auf das nur sie zugreifen können und auch nur sie sehen können.
das funktioniert auch alles so.

diese 6 user befinden sich in der gruppe mitarbeiter.
eigentümer der jeweiligen /home verzeichnise ist der jeweilige user.

jetzt möcht ich allerdings, dass der chef alle diese 6 ordner bei sich in der netzwerkumgebung einsehen kann und auch daten ändern/löschen kann.
wie kann ich das realisieren.

bis jetzt sind die benutzerrechte (chmod) auf 700 gesetzt damit eben nur der eigentümer den ordner sehen bzw bearbeiten kann.
wenn ich den chef auch in die gruppe mitarbeiter packe und der gruppe auch recht geben würde 770 dann würden ja auch alle anderen user in der gruppe "mitarbeiter" den ordner sehen bzw. bearbeiten können ?!

könnt ihr mir einen denkanstoß geben bitte! Danke face-smile

lg

Content-ID: 80138

Url: https://administrator.de/forum/samba-benutzerverwaltungsproblem-80138.html

Ausgedruckt am: 26.12.2024 um 22:12 Uhr

51705
51705 07.02.2008 um 21:00:29 Uhr
Goto Top
könnt ihr mir einen denkanstoß geben bitte! Danke face-smile

Gern: Nimm doch einen echten Windows Server.

Sorry, die Vorlage war so steil...
limi
limi 08.02.2008 um 01:21:06 Uhr
Goto Top

> könnt ihr mir einen
denkanstoß geben bitte! Danke face-smile

Gern: Nimm doch einen echten Windows
Server.

Sorry, die Vorlage war so steil...

Hmm, fast witzig, aber nich hilfreich face-smile

Leg dir im Unix und im Windows ne Gruppe "chef" an, in die du dann jeweils deinen Chef packst, machst auf dem Samba-Server "chgrp -R chef /home" und "chmod -R 770 /home" und noch eine Freigabe auf /home in der smb.conf, wo nur chef (und evtl. admin face-smile) zugreifen darf (Stichwort: "valid users") und alles ist so, wie du es haben willst ...

Ich muss jetzt ins Bett face-smile

Gruß, Limi

PS: Wieso darf ich eigentlich nicht W i n d o o f (ohne Lehrzeichen) schreiben, oder gaukelt mir da die Vorschau nur was anderes vor? Hat sich da etwa jemand das als Wortmarke schützen lassen und ist jetzt fröhlich auf Abmahntour?? Egal, ich muss ins Bett ... face-smile
michi1983
michi1983 11.02.2008 um 09:12:47 Uhr
Goto Top
hallo, danke erstmal für die antworten. zumindest für die 2.

entweder ich bin zu doof oder ich weiß auch nicht.

was hat mein problem damit zu tun, dass ich auf einer windows kiste ne gruppe "chef" anlegen soll?

mein problem bezieht sich lediglich auf einen linux server auf dem (für windows user) ein ordner zum speichern von daten angelegt werden soll. der allerdings NUR von ihm selbst gesehen werden soll UND eben vom "chef".

lg
limi
limi 11.02.2008 um 22:34:52 Uhr
Goto Top
Hallo Michael,

in deinem Ursprungspost sollte ja der "Chef" auf die Homeverzeichnisse der User lesend und schreibend zugreifen können. Da nun 2 Betriebssysteme (Win und Unix) mit unterschiedlichen Sicherheitskonzepten sich per Samba untereinander verstehen sollen, müssen wir sie auf einen Nenner bringen.
Auf dem Unix-Samba-Rechner sind die User 2fach angelegt: als Unix-User und als Samba-User. Beim Anmelden von UserA an einem Samba-Domänenkontroller wird auf dem Windows-Rechner ein lokaler Nutzer gleichen Namens (und gleicher SID wie im Samba) angelegt, der beim Abmelden i.d.R. wieder gelöscht wird (ist der Samba-Server kein Domänenkontroller, muss der Nutzer in Windows eben von Hand angelegt werden). UserA hat auf sein Home-Verzeichnis von Unix-Seite her Zugriffsrechte 700, dh. es darf niemand anderes zugreifen. Soll nun noch z.B. UserB und nicht gleich alle darauf zugreifen dürfen, muss eine Gruppe XY mit dem Zugriffsberechtigten UserB als Mitglied im Unix erstellt werden, und dieser Gruppe auch Zugriff auf das Homeverzeichnis von UserA gewährt werden -> setze Zugriffsrecht 770 und chgrp XY. Nun weiss aber Windows noch nix davon, da es Gruppe XY nicht kennt und von Windows-Seite UserA und UserB standardmäßig nur in Gruppe "Benutzer" (beim dt. Windows) sind. Legen wir nun im Windows eine Gruppe XY an und tun dort UserB hinein, kann wie durch Zauberhand auf einmal UserB, der sich mit Windows am Samba-Server anmeldet, auf das Homeverzeichnis von UserA zugreifen face-smile

Hoffe mich verständlich ausgedrückt zu haben face-wink

Gruß, Limi
michi1983
michi1983 12.02.2008 um 09:58:44 Uhr
Goto Top
hallo limi,

vielen dank für diesen post.

jetzt habs sogar ich gecheckt face-smile

lg, michael

//Edit:
eine kleine frage noch. bitte verkauft mich jetzt nicht für ganz dumm face-smile
wo leg ich den in windows gruppen an ? ich meine ich weiß wie ich einen benutzer anlege.
mach ich das unter "rechtsklick auf Arbeitsplatz --> Verwalten" ??

und noch eine logikfrage:
das heißt ich muss alle 6 mitarbeiter in 6 verschiedene gruppen stecken ?? denn es soll ja nur der chef alle homeverzeichnise sehen/bearbeiten können und nicht die anderen user ?!

oder könnt ich nicht einfach mit Valid User dem jeweiligen verzeichnis den "Chef" beipacken face-smile ?!
limi
limi 12.02.2008 um 12:57:05 Uhr
Goto Top
Also Gruppen bearbeiten/anlegen/löschen geht (zumindest bei WinXP Pro - k.A. ob's das auch bei der Home-Version gibt... ansonsten eben in der DOS-Box mit "net group gruppenname /add") mit "Systemsteuerung->Verwaltung->Computerverwaltung->Lokale Benutzer und Gruppen".

Die Antwort auf deine Logikfrage hast du dir ja schon fast selbst gegeben face-wink
Sinnvoll wäre es, damit wirklich nur Chef auf dei Nutzerverzeichnisse zugreifen darf, nur den in die Gruppe zu tun und ihm dann noch in der smb.conf mit "valid users" den Zugriff auf die Freigaben zu gewähren (da muss dann - denk ich jetzt mal - neben dem chef auch der jeweilige user stehen - kann's grad nich probieren). Sinnvoll wäre es außerdem noch, "create mode = 660" und "directory mode = 770" anzugeben, damit vom User neu erstellte Dateien/Verzeichnisse dann auch von der Gruppe gelesen werden können und umgekehrt...

Gruß, Limi
michi1983
michi1983 12.02.2008 um 23:47:30 Uhr
Goto Top
ok super habs gecheckt denk ich.

reichts dann aber nicht einfach einen user "chef" anzulegen und den als valid user anzugeben ?
brauch ich wirklich eine gruppe ? (wenn ja, nur wegen windows oder ?!) face-smile

bin nervig ich weiß face-smile
limi
limi 13.02.2008 um 11:28:53 Uhr
Goto Top
brauch ich wirklich eine gruppe ? (wenn ja, nur wegen windows oder ?!)

Ja brauchst du - nicht wegen Windows sondern wegen der Unix-Dateirechte.
Ist nur "valid users" angegeben, ist zwar Windows berechtigt, sich mit der Freigabe zu verbinden, kann dann aber nicht auf die dortigen dateien zugreifen, weil der entsprechende Nutzer auf Unix-Seite keine Rechte dazu hat ...
michi1983
michi1983 14.02.2008 um 13:02:35 Uhr
Goto Top
ok, gut, nun hab ichs komplett verstanden.

danke für deine hilfe.

lg