bc-nero
Anmeldungsdatum: 30. Mai 2013
Beiträge: 52
|
Hallo! Wir haben in unserer Firma die Daten nach Themenbereichen in Ordnern sortiert. Per Samba greifen Chef, Online Support und Mitarbeiter auf die Daten zu. Beispiel:
Ordner A
Ordner B
Ordner C
Ordner D Geschäftsführung darf : A - B - C - D ⇒ lesen und schreiben (Samba Share ist der "Überordner" von A-B-C-D) Support Online Shop darf: A - - C - ⇒ lesen und schreiben normaler Mitarbeiter darf: C ⇒ lesen und schreiben (Samba Share ist der Ordner C)
Ziel:
Jeder kann laut seinen Rechten lesen und schreiben Der Support muss morgens nur ein Netzlaufwerk verbinden (es sollen nicht mehrere Netzwerklaufwerke entstehen) Kein Rechteproblem untereinander bei neuen / geänderten Dateien Nach Möglichkeit sollen die Support Ordner B und D nicht nur per hide ausgeblendet werden, nicht das hier doch ein Mitarbeiter an sensible Daten kommt....
Ich wäre echt dankbar über eine Lösung, da ich selber keine Lösung im Netz gefunden habe. DANKE THOMAS
|
chr123
Anmeldungsdatum: 19. Juli 2018
Beiträge: 1632
|
Samba kann ja grundsätzlich nur die Rechte vergeben, die auch auf dem Server lokal eingerichtet wurden. Also bspw. auf dem Server die 4 Gruppen a bis d anlegen, unterhalb des Shares die 4 Ordner anlegen, denen jeweils die Gruppen a bis d zuweisen und die Mitarbeiter den entsprechenden Gruppen zuweisen. Dann hätte man nur einen freizugebenden Share und unterhalb wirken die entsprechenden (lokal definierten) Rechte.
|
bc-nero
(Themenstarter)
Anmeldungsdatum: 30. Mai 2013
Beiträge: 52
|
|
chr123
Anmeldungsdatum: 19. Juli 2018
Beiträge: 1632
|
Thread bitte noch auf gelöst setzen.
|
bc-nero
(Themenstarter)
Anmeldungsdatum: 30. Mai 2013
Beiträge: 52
|
Hallo! Ich habe noch ein Problem mit den Rechten und Ownern bei neuen Dateien / Verzeichnissen. Problem 1:
Ursprüngliche Fragestellung: Ordner A Ordner B Ordner C Ordner D Geschäftsführung darf : A - B - C - D ⇒ lesen und schreiben (Samba Share ist der "Überordner" von A-B-C-D) Support Online Shop darf: A - - C - ⇒ lesen und schreiben normaler Mitarbeiter darf: C ⇒ lesen und schreiben (Samba Share ist der Ordner C)
Das ursprüngliche Problem habe ich nun wie von chr123 über die Linux Dateirechte eingeschränkt. Linux-Gruppe: chef angelegt ⇒ Nutzer: chef
Linux-Gruppe: online-support ⇒ Nutzer: chef, online-support
Linux-Gruppe: mitarbeiter ⇒ Nutzer: chef, online-support, mitarbeiter Die Ordnern habe ich dann auf user:chef oder user:online-support oder user:mitarbeiter zugewiesen. Rechte der Ordner und Dateien auf 770 gesetzt. Nun sollte "chef" ja alles lesen,schreiben, ausführen können. Kann er aber nicht. Chef sieht nur chef, online-support nur online-support. Was mache ich hier falsch?!? Problem 2:
Weiter habe ich das Problem, wenn der "chef" eine neue Datei / Verzeichnis in einem für den "online - support" zugänglichen Ordner anlegt, dann sollte die der Gruppe "online-support" und nicht "chef" gehören, da sonst "online-support" nicht mehr an diese Daten kommen kann ... Das konnte ich wegen dem ersten Problem noch nicht testen, habe ich das in der smb.conf richtig angelegt? [server-nas]
force security mode = 770
create mode = 770
security mask = 770
force directory security mode = 770
public = yes
write list = @chef,@online-support,@mitarbeiter
force directory mode = 770
directory security mask = 770
comment = Server-NAS
# force group = chef
inherit owner = yes
inherit permissions = yes
writeable = yes
directory mode = 770
browsable = yes
valid users = @chef,@online-support,@mitarbeiter
path = /mnt/226b0c95-4733-429b-872d-6af6b0d2a89c/SERVER-NAS
force create mode = 770
delete readonly = yes
|
chr123
Anmeldungsdatum: 19. Juli 2018
Beiträge: 1632
|
bc-nero schrieb: Was mache ich hier falsch?!?
Dann sind die Rechte nicht korrekt. Du kannst ja mal
| cat /etc/group
getfacl /mnt/226b0c95-4733-429b-872d-6af6b0d2a89c/SERVER-NAS
getfacl /mnt/226b0c95-4733-429b-872d-6af6b0d2a89c/SERVER-NAS/chef #Pfad noch anpassen
|
zeigen.
habe ich das in der smb.conf richtig angelegt? [server-nas]
force security mode = 770
Ich denke nicht. testparm müsste diverse Hinweise auf veraltete Parameter liefern. Nebenbei: du kannst auch einfach ein Stickybit setzen, um die Gruppenrechte zu vererben. Ich persönlich würde mich an deiner Stelle für eine Variante entscheiden. Entweder alles über Samba oder über die lokalen Rechte. Ein Mischbetrieb kann zu komplex werden. Beispiel:
| sudo chmod g+s /mnt/226b0c95-4733-429b-872d-6af6b0d2a89c/SERVER-NAS/chef
|
|
bc-nero
(Themenstarter)
Anmeldungsdatum: 30. Mai 2013
Beiträge: 52
|
Das sollten die relevanten Daten sein:
online-support:x:1002:chef,online-support,root,thomas
chef:x:1005:chef,mitarbeiter,root,thomas
mitarbeiter:x:1001:online-support,thomas,chef,root
thomas:x:1000:thomas,chef,online-support
sambashare:x:124:thomas,online-support,chef Share Stammordner:
getfacl: Entferne führende '/' von absoluten Pfadnamen
# file: mnt/226b0c95-4733-429b-872d-6af6b0d2a89c/SERVER-NAS
# owner: root
# group: root
user::rwx
group::rwx
other::rwx Beispielordner für den online-support:
getfacl: Entferne führende '/' von absoluten Pfadnamen
# file: mnt/226b0c95-4733-429b-872d-6af6b0d2a89c/SERVER-NAS/tmp
# owner: root
# group: online-support
user::rwx
group::rwx
other::--- Beispielordner für den chef:
getfacl: Entferne führende '/' von absoluten Pfadnamen
# file: mnt/226b0c95-4733-429b-872d-6af6b0d2a89c/SERVER-NAS/Immobilien
# owner: chef
# group: chef
user::rwx
group::rwx
other::---
"Ich denke nicht. testparm müsste diverse Hinweise auf veraltete Parameter liefern"
Die entsprechenden Fehlermeldungen habe ich alle auskommentiert. Ich persönlich würde mich an deiner Stelle für eine Variante entscheiden. Entweder alles über Samba oder über die lokalen Rechte. Ein Mischbetrieb kann zu komplex werden
... sehr gerne, aber wie kann ich alle Anforderungen nur mit Samba lösen?
|
chr123
Anmeldungsdatum: 19. Juli 2018
Beiträge: 1632
|
bc-nero schrieb: online-support:x:1002:chef,online-support,root,thomas
chef:x:1005:chef,mitarbeiter,root,thomas
mitarbeiter:x:1001:online-support,thomas,chef,root
thomas:x:1000:thomas,chef,online-support
Grundsätzlich sind die Rechte ok. Soll das gelb markierte wirklich so sein?
Share Stammordner:
Ok.
Beispielordner für den online-support:
Die Rechte sind ok! Der Zugriff über Samba sollte gehen.
Beispielordner für den chef:
Das sieht auch ok aus.
Ich persönlich würde mich an deiner Stelle für eine Variante entscheiden. Entweder alles über Samba oder über die lokalen Rechte. Ein Mischbetrieb kann zu komplex werden
... sehr gerne, aber wie kann ich alle Anforderungen nur mit Samba lösen?
Da du nur ein Netzlaufwerk verbinden willst, musst du den Umweg über die lokalen Rechte nehmen. Alternativ wären mehrere Shares anzulegen. Wenngleich es vom Ergebnis her nicht viel anders ist. Da die Rechte ok sind und testparm keine Fehler mehr liefert, wie ist jetzt das Problem? BTW:
Du kannst - wie gesagt - auch die Spezialrechte setzen:
| sudo chmod g+s /mnt/226b0c95-4733-429b-872d-6af6b0d2a89c/SERVER-NAS/tmp
sudo chmod g+s /mnt/226b0c95-4733-429b-872d-6af6b0d2a89c/SERVER-NAS/Immobilien
|
Damit vererbst du die Gruppe an neu erstellte Dateien. Siehe hier. Edit: wie ist jetzt deine smb.conf?
|
bc-nero
(Themenstarter)
Anmeldungsdatum: 30. Mai 2013
Beiträge: 52
|
Hallo! Danke für deine Hilfe!!!
chef:x:1005:chef,mitarbeiter,root,thomas
... danke ist natürlich falsch, ich habe aber aktuell nur mit chef und online-support gekämpft, mitarbeiter sollte kommen, wenn der Rest läuft ...
Da die Rechte ok sind und testparm keine Fehler mehr liefert, wie ist jetzt das Problem?
Wenn ich mich als "chef" anmelde, dann kann ich Immobilien sehen, bekomme aber den Inhalt von tmp nicht zu sehen ⇒ Zugriff verweigert Wenn ich mich als "online-support" anmelde, dann kann ich tmp sehen, bekomme aber den Inhalt von Immobilien nicht zu sehen ⇒ Zugriff verweigert Problem 2 teste ich, wenn ich Problem 1 gelöst habe ... Nachtrag zur smb.conf, schätze es geht nur um den Teil der Freigabe: [server-nas]
# force security mode = 770
create mode = 770
# security mask = 770
# force directory security mode = 770
public = yes
write list = @chef,@online-support,@mitarbeiter
force directory mode = 770
# directory security mask = 770
comment = Server-NAS
# force group = chef
inherit owner = yes
inherit permissions = yes
writeable = yes
directory mode = 770
browsable = yes
valid users = @chef,@online-support,@mitarbeiter
path = /mnt/226b0c95-4733-429b-872d-6af6b0d2a89c/SERVER-NAS
force create mode = 770
delete readonly = yes
|
chr123
Anmeldungsdatum: 19. Juli 2018
Beiträge: 1632
|
Ich denke das das Problem eher an der Definition des Share liegt. Du kannst ja mal die minimal Konfiguration testen, logischerweise mit deinen Werten:
[Name]
comment = Beispiel
path = /pfad
valid users = @gruppe
read only = No Edit: Wenn ich mich als "chef" anmelde, dann kann ich Immobilien sehen, bekomme aber den Inhalt von tmp nicht zu sehen ⇒ Zugriff verweigert
chef ist auch nicht in der Gruppe online enthalten. Edit 2: ich meinte natürlich online support ist nicht in der chef Gruppe.
|
bc-nero
(Themenstarter)
Anmeldungsdatum: 30. Mai 2013
Beiträge: 52
|
geht leider auch nicht: 1) Unix Gruppe: chef = User: chef Unix Gruppe: online-support = User: chef, online-support Benutzer: chef und online-support werden im Webmin unter "Samba Benutzer" angezeigt Gruppen wurden im Webmin synchronisiert und werden auch als "Samba-Gruppen" angezeigt 2)
getfacl: Entferne führende '/' von absoluten Pfadnamen
# file: mnt/226b0c95-4733-429b-872d-6af6b0d2a89c/SERVER-NAS/Immobilien
# owner: chef
# group: chef
user::rwx
group::rwx
other::--- und
getfacl: Entferne führende '/' von absoluten Pfadnamen
# file: mnt/226b0c95-4733-429b-872d-6af6b0d2a89c/SERVER-NAS/tmp
# owner: online-support
# group: online-support
user::rwx
group::rwx
other::--- 3) Testfreigabe:
[nas-test]
comment = Server-NAS-TEST
valid users = chef,online-support,mitarbeiter
path = /mnt/226b0c95-4733-429b-872d-6af6b0d2a89c/SERVER-NAS
read only = No 4) Ergenbis: Chef kommt nicht in "TMP", aber in "IMMOBILIEN" rein
Online-Support kommt nicht in "IMMOBILIEN" rein, aber in "TMP" ... mir fällt nichts mehr ein, warum kann der chef nicht in die Verzeichnisse vom online-support ?!?!?!?
|
chr123
Anmeldungsdatum: 19. Juli 2018
Beiträge: 1632
|
Ich habe leider etwas den Überblick verloren. Von daher noch mal Schritt für Schritt: 1) Gruppen anlegen
| sudo addgroup --gid 1500 nas #Zugriff auf das NAS
sudo addgroup --gid 1601 dir-chef #Zugriff auf das Verzeichnis chef
sudo addgroup --gid 1602 dir-online-support #Zugriff auf das Verzeichnis online-support
sudo addgroup --gid 1603 dir-mitarbeiter #Zugriff auf das Verzeichnis mitarbeiter
|
2) Benutzer den Gruppen zufügen
| sudo usermod -aG nas chef
sudo usermod -aG nas online-support
sudo usermod -aG nas mitarbeiter
sudo usermod -aG dir-chef chef
sudo usermod -aG dir-online-support chef
sudo usermod -aG dir-mitarbeiter chef
sudo usermod -aG dir-online-support online-support
sudo usermod -aG dir-mitarbeiter mitarbeiter
|
3) Verzeichnisse und Rechte anlegen
| sudo chown root:dir-online-support /mnt/226b0c95-4733-429b-872d-6af6b0d2a89c/SERVER-NAS/tmp
sudo chown root:dir-chef /mnt/226b0c95-4733-429b-872d-6af6b0d2a89c/SERVER-NAS/Immobilien
sudo chmod g=rwx,o= /mnt/226b0c95-4733-429b-872d-6af6b0d2a89c/SERVER-NAS/tmp
sudo chmod g=rwx,o= /mnt/226b0c95-4733-429b-872d-6af6b0d2a89c/SERVER-NAS/Immobilien
sudo chmod g+s /mnt/226b0c95-4733-429b-872d-6af6b0d2a89c/SERVER-NAS/tmp
sudo chmod g+s /mnt/226b0c95-4733-429b-872d-6af6b0d2a89c/SERVER-NAS/Immobilien
|
4) Share anlegen
| [server-nas]
comment = Server-NAS
path = /mnt/226b0c95-4733-429b-872d-6af6b0d2a89c/SERVER-NAS
valid users = @nas
read only = No
|
BTW: Hast du wirklich noch 14.04 im Einsatz?
|
bc-nero
(Themenstarter)
Anmeldungsdatum: 30. Mai 2013
Beiträge: 52
|
Hallo! Das hat geklappt, keine Ahnung was ich anders gemacht habe, ich werde am WE mal die restlichen Anforderungen testen und mich dann gegebenenfalls nochmals melden. VIELEN DANK FÜR DEINE HILFE!!!
|
bc-nero
(Themenstarter)
Anmeldungsdatum: 30. Mai 2013
Beiträge: 52
|
Hallo! Eigentlich hatte war das Problem über die Ordner und Dateirechte gut geregelt, nun meldet sich aber ein Mitarbeiter mit dem Problem, das er Dateien nur schreibgeschützt öffnen kann ... gut das die sich erst nach Wochen oder Monaten melden ☹ Wenn ich die Rechte des Verzeichnises unter Linux aufrufe bekomme ich:
Besitzer: Dateien erstellen und löschen
Gruppe (dir-online-support): Dateien erstellen und löschen Eine neu erstellte Datei auf dem Samba Share unter Linux hat dann aber die Rechte:
Besitzer: lesen und schreiben
Gruppe (dir-online-support): Nur lesen Eine neu erstellte Datei auf dem Samba Share unter Windows hat dann aber die Rechte:
Besitzer: lesen und schreiben
Gruppe (dir-online-support): Nur lesen "sudo chmod g+s /mnt/226b0c95-4733-429b-872d-6af6b0d2a89c/SERVER-NAS/INTERNET/Mitarbeiter" sollte ja eigentlich die Rechte der Ordner auf die (neuen) Dateien übertragen ... passiert aber leider nicht ... Wo könnte der Fehler sein?
|
chr123
Anmeldungsdatum: 19. Juli 2018
Beiträge: 1632
|
Kannst du mal
id
des betreffenden Benutzers posten und dazu
getfacl /mnt/226b0c95-4733-429b-872d-6af6b0d2a89c/SERVER-NAS/INTERNET/Mitarbeiter
getfacl /mnt/226b0c95-4733-429b-872d-6af6b0d2a89c/SERVER-NAS/INTERNET
|