... habe ich einem Beispiel aus dem Linux-Buch von Kofler entnommen
Von wann? Samba hat einige Veränderungen durchgemacht.
Es handelt sich um die Ausgabe 2014
Server: Banana Pi mit angeschlossener SATA-Festplatte und Bananian
Welche Samba-Version läuft denn da drauf (zu erfragen mit smbd -V
)? Möglicherweise stimmen dann manche Default-Einstellungen nicht mit denen von Ubuntu überein. Das übersehe ich im Moment nicht ganz. Dann passen natürlich auch meine Vorschläge eventuell nicht (dies ist ein Ubuntu-Forum...).
Version 4.2.10-Debian
Was das Gesamtkonzept angeht:
Netzwerkverzeichnis Zugriff (Benutzer bzw. Gruppe)
------------------- -----------------------------------
Bilder familie (Gruppe)
Musik familie (Gruppe), sonos (Benutzer)
Videos familie (Gruppe)
ipad utechle (Benutzer), ipad (Benutzer)
Benutzer Gruppenzugehörigkeit
------------------- -----------------------------------
utechle familie
ipad -
sonos -
Ich habe nun die Samba-Konfiguration wie folgt angepasst (die Optionen force group, create mask und directory mask habe ich vorerst auskommentiert):
[Bilder]
path = /shared-data/Bilder
available = yes
browseable = yes
guest ok = no
writeable = no
valid users = @familie
write list = @familie
# force group = +familie
# create mask = 0660
# directory mask = 0770
[ipad]
path = /shared-data/ipad
available = yes
browseable = yes
guest ok = no
writeable = no
valid users = utechle,ipad
write list = utechle,ipad
# force group = +utechle
# create mask = 0660
# directory mask = 0770
Dies hat zur Folge, dass ich mit dem Benutzer sonos nun nicht mehr auf die Freigabe ipad zugreifen kann. So soll es prinzipiell auch sein. Gestern mit der alten Konfiguration ging das noch.
Nächster Test: Der Benutzer sonos kann auf die Freigabe Bilder zugreifen, obwohl das eigentlich nur Benutzer der Gruppe familie dürfen, zu der sonos nicht gehört. Der Benutzer ipad kann nicht auf die Freigabe Bilder zugreifen - so wie es sein soll - obwohl er wie der Benutzer sonos auch ein Systembenutzer mit den gleichen Rechten ist. Ich wollte nun testen, ob der Benutzer sonos wieder auf die Freigabe ipad zugreifen kann, wenn die Zugehörigkeiten des freigegebenen Verzeichnisses genauso eingestellt werden, wie es beim Verzeichnis Bilder der Fall ist.
root@homeserver /shared-data # getfacl ipad
getfacl: Entferne führende '/' von absoluten Pfadnamen
# file: ipad
# owner: utechle
# group: utechle
user::rwx
group::rwx
other::---
root@homeserver /shared-data # chown utechle:familie ipad
root@homeserver /shared-data # getfacl ipad
getfacl: Entferne führende '/' von absoluten Pfadnamen
# file: ipad
# owner: utechle
# group: familie
user::rwx
group::rwx
other::---
Der Hintergedanke mit der Zugehörigkeit utechle:utechle war, dass Benutzer der Gruppe familie grundsätzlich nicht berechtigt sein sollen, auf den Ordner zuzugreifen. Die Änderung hat aber nichts bewirkt. Der Benutzer sonos kann nach wie vor nicht auf die Freigabe ipad zugreifen.
Als nächstes habe ich ein weiteres Mal die Samba-Konfiguration angepasst und zwar so, dass die Konfiguration für den Ordner ipad identisch ist mit der Konfiguration für den Ordner Bilder (bis auf die Option path natürlich).
[ipad]
path = /shared-data/ipad
available = yes
browseable = yes
guest ok = no
writeable = no
valid users = @familie
write list = @familie
# force group = +utechle
# create mask = 0660
# directory mask = 0770
Und siehe da: der Benutzer sonos kann auf einmal wieder auf die Freigabe ipad zugreifen, obwohl dieser überhaupt nichts mit der Gruppe familie zu tun hat. Zur Erinnerung:
root@homeserver /shared-data # groups sonos
sonos : sonos
Wie kann das sein? Und warum darf der Benutzer ipad nicht darauf zugreifen?
NACHTRAG
Habe noch ein bisschen mit den Berechtigungen für das Verzeichnis ipad rumgespielt:
root@homeserver /shared-data # chown -R ipad:ipad ipad
root@homeserver /shared-data # getfacl ipad
# file: ipad
# owner: ipad
# group: ipad
user::rwx
group::rwx
other::---
Hat leider nichts gebracht - der Benutzer ipad hat immer noch keinen Zugriff. Wenn ich von meinem iPad mit GoodReader darauf zugreife, dann kommt die Meldung "Authentification failed, try again..." und ich soll erneut die Zugangsdaten eingeben. Wenn ich mit dem Benutzer sonos zugreife, dann kommt die Meldung "Error ... Reading access denied". Es sieht so aus, als ob es mit der Konfiguration des Systembenutzers ipad Probleme gibt, denn beim Benutzer sonos gibt es kein Problem mit der Authentifizierung.
Ein weiterer Test hat bestätigt, dass der Benutzer sonos Zugriff erhält, sobald die Ordnerberechtigung für die Gruppe familie erteilt wird, was mich nach wie vor wundert:
root@homeserver /shared-data # chown -R ipad:familie ipad
root@homeserver /shared-data # getfacl ipad
# file: ipad
# owner: ipad
# group: familie
user::rwx
group::rwx
other::---