helmuthelmut2000
Goto Top

Samba Dateiberechtigung unter SUSE 10

Hallo,

Ich habe folgende Situation:

Auf einem SUSE 10.2 Server möchte ich unter Samba eine Dateiberechtigung einrichten.
Ich habe da etwas Probleme damit und hätte das gerne etwas Erklärt.
Vielleicht kann mir da jemand etwas helfen.

Ich habe einen Ordner angelegt, der nennt sich Bilder.
Unter diesem legte ich den Ordner Urlaub an.
Darunter den Ordner 2013.
Jetzt habe ich Benutzer angelegt:
Helga, Marion und Michaela. Die drei sind auch in der Gruppe Familie.
Dann gibt es noch den Benutzer Hans.
Jetzt sollte die Gruppe Familie alles in den Ordnern machen dürfen.
Also sie sollen in den Ordner 2013 Bilder speichern löschen und ändern dürfen.
Hans aber darf in dem Ordner 2013 nur speichern, die Bilder die er dort gespeichert hat darf er auch
wieder löschen oder ändern, er darf aber nicht die Bilder löschen die einer von der Gruppe dort gespeichert hat.

Wie muss die Berechtigung von dem Ordner 2013 ( oder vielleicht auch von den anderen) und die smb.conf aussehen?

Sollte der Ordner nicht so aussehen:

drwxrwxr-x Helga Familie 2013

Passt das mit dem Helga und Familie?
Und wie muss die smb.conf aussehen?

Gruß
Helmut

Content-ID: 230780

Url: https://administrator.de/forum/samba-dateiberechtigung-unter-suse-10-230780.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

aqui
aqui 23.02.2014 um 10:31:09 Uhr
Goto Top
Den peinlichen Fauxpas mit "SÜSE" in der Überschrift korrigiert immer der "Bearbeiten" Button !
Cthluhu
Cthluhu 24.02.2014 um 13:59:09 Uhr
Goto Top
Hi Helmut,

Fein granulare Berechtigungen würde ich nicht in der smb.conf versuchen zu realisieren sondern über ACLs.

mfg

Cthluhu
helmuthelmut2000
helmuthelmut2000 02.03.2014 um 23:28:02 Uhr
Goto Top
Hallo Cthluhu

Ich war jetzt ein paar Tage an einer anderen Sache.
Muss jetzt aber an der Berechtigungssache mal weiter kommen.

Wie realisiert man das aber bei meiner Sache genau über ACLs ?

Gruß
Helmut
helmuthelmut2000
helmuthelmut2000 02.03.2014 um 23:28:48 Uhr
Goto Top
Und warum nicht über die smb.conf?
helmuthelmut2000
helmuthelmut2000 03.03.2014 um 23:48:15 Uhr
Goto Top
Hallo Cthluhu,

Ich hab das noch mal versucht.
Das geht doch mit dem ACLs nicht.

Wenn ich dem Verzeichnis 2013 mit chmod 775 2013 gebe,
dann kann sich doch Hans auf das Verzeichnis verbinden, kann aber
dort dann nichts speichern.
Wenn ich eine Berechtigung 777 auf das Verzeichnis 2013 gebe.
Dann kann Hans auch die Bilder von den anderen löschen.

Wie soll das gehen?

Gruß
Helmut
Cthluhu
Cthluhu 04.03.2014 um 10:37:04 Uhr
Goto Top
Hi Helmut,

chmod setzt keine ACLs. Mit chmod kannst du nur Berechtigungen für einen User und eine Gruppe (und others) setzen. Du musst getfacl und setfacl verwenden. Damit kannst du Berechtigungen für einzelnen User und verschiedene Gruppen anpassen (nicht nur jeweils eines).

mfg

Cthluhu
helmuthelmut2000
helmuthelmut2000 06.03.2014 um 21:17:10 Uhr
Goto Top
Hallo Cthluhu,

Ich bekomme das mit getfacl und setfacl nicht so hin
wie ich das gerne hätte.

Kannst du mir da etwas weiterhelfen?

Danke.

mfg

Helmut
Cthluhu
Cthluhu 07.03.2014 um 12:11:54 Uhr
Goto Top
Hi Helmut,

Schau mal hier: http://stackoverflow.com/questions/580584/setting-default-permissions-f ...
chown root:family 2013 
chmod g+rwxs 2013 # Gruppe darf alles in Ordner "2013" und bei neuen Dateien wird automatisch die Gruppe family gesetzt 
setfacl -x u:hans:rwx 2013 # hans is außerhalb der Gruppe darf aber schreiben.
Von hans im Ordner 2013 erzeugte Dateien sollten nun automatisch mit hans:family getaggt sein.

Achtung: Code ist ungetestet und soll nur ein Vorschlag sein.

mfg

Cthluhu
helmuthelmut2000
helmuthelmut2000 10.03.2014 um 21:45:31 Uhr
Goto Top
Hallo Cthluhu,

Danke erst mal für den Vorschlag.

Das mit
chown root:family 2013
ist mir klar und funktioniert auch.

Das mit
chmod g+rwxs 2013
ist mir auch klar und funktioniert auch.

Aber
setfacl -x u:hans:rwx 2013
Verstehe ich nicht, und da bekomme ich auch die Fehlermeldung:

Option -x: Invalid Argument near charakter 8

Kannst du mir das besser erklären.
Das Interessiert mich jetzt wie das Richtig geht.

Gruß
Helmut
helmuthelmut2000
helmuthelmut2000 12.03.2014 um 21:10:04 Uhr
Goto Top
Hallo Cthluhu,

Mit dem Befehl setfacl -x ... geht's nicht.
Ich hab da setfacl -m u:hans:rwx da kommt keine Fehlermeldung.
Dann sollte es doch mit setfacl -m u:hans:--- auch gehen.
Da darf der user hans nichts mehr.
Er sollte aber Bilder speichern und seine Bilder wieder löschen dürfen.

Geht da auch?

Gruß
Helmut
Cthluhu
Cthluhu 18.03.2014 um 12:22:56 Uhr
Goto Top
Hi Helmut,

Sry, das -x muss natürlich ein -m sein. Hab da wohl ein bisschen geschusselt. Erklärung dafür liefert die manpage
man setfacl

Warum sollte es mit
setfacl -m u:hans:---
gehn?

Was passt an
setfacl -m u:hans:rwx
nicht?

mfg

Cthluhu
Cthluhu
Cthluhu 18.03.2014 um 14:34:13 Uhr
Goto Top
Hi,

Bin soeben noch über was drübergestolpert. Wenn man Berechtigungen sowohl mit chmod als auch mit setfacl setzt kann es zu Diskrepanzen kommen. Ich weiß nicht wie, aber ich habe es geschafft, dass "ls -l" für die Gruppe rwx anzeigt, "getfacl" jedoch "r-x". In diesem Fall gelten (zumindest bei meinem Testfall) die ACLs.

mfg

Cthluhu
SKIP250
SKIP250 10.07.2014 um 23:04:02 Uhr
Goto Top
Hallo Helmut,

ich habe etwas ähnliches auf unserem Samba-Server. Was du hier brauchst ist das sticky-bit.
Du kannst dies z.B. in der smb.conf über "create mask = 1xxx" forcen.
Dadurch kann nur der eigentümer einer Datei diese andern/löschen.
In verbidung mit dem SGID.bit solltest du dann erreichen was du dir vorstellst.
Nutzt du nur das sticky-bit, würde ich erwarten, dass auch die besitzende Gruppe die Datei eines Gruppenmitgliedes nicht löschen kann.