ubuntuusers.de

Hallo liebe Community,

Wir haben aktuell bei uns in der Firma ein kleines Problem. Wir haben dort einen Ubuntu 16.04 Server stehen auf dem Samba als AD/DC eingerichtet ist, da wir die Netzwerkfreigaben irgendwann im laufe der kommenden Monate ggf. auf ein Domain System umstellen wollen. (Windows Clients)

Nun haben wir jedoch folgendes Problem: Die einzelnen Shares sind nur über den Zusatz "force user = root" ansprechbar ( was soweit ja auch Sinn ergibt, da dieser als Owner eingetragen ist und auf 770 gestellt wurde) Wir wollen nun jedoch einzelnen Benutzern Zugang auf gewisse Unterverzeichnisse gewähren und sind so auf die ACL Methode gestoßen.

Die Konfiguration der ACL Einträge funktionier soweit auch komplett reibungslos. Das Problem an dem wir/ich aktuell hänge ist jedoch das mir Samba nicht den normalen "Nutzer" weiter gibt um auf den Ordner zuzugreifen, sondern dies unter "Domain\Nutzer" versucht. Die Nutzer sind jeweils einmal unter UNIX direkt und einmal unter Samba angelegt (gleiches bei den Gruppen) Diese Werte bekomme ich so natürlich nicht in die ACL und der Zugriff wird verweigert.

Da ist nun natürlich die Frage wie ich es am besten hinbekomme einen Samba Share unter den Regeln 770 oder am besten 700 freizugeben ohne einen "force user = root" Eintrag einrichten zu müssen und dann jeweils die Benutzer über meine ACL Einträge freizugeben.

Ich hoffe Ihr könnt mir hierbei weiterhelfen, da ich im Netz mittlerweile nichts mehr dazu finde und langsam verzweifel 😀

Warum legst du soviel wert darauf dass die Eigentümer auf Root stehen? Samba stellt dir direkt die Domain User als Eigentümer ein. Die rechte vergibst du als Admin unter Windows Sicherheit

Naja gedacht war es halt um die Ordner soweit es geht abzuschotten.

Mit deinem zweiten Satz komme ich grade nicht sehr weit könntest du das ggf nochmal etwas ausführen ?

Denn wenn Samba mir die User als Eigentümer einstellt müsste ich ja eigentlich auch Zugriff darauf haben wenn ich den Share in der smb.conf einfach normal einpflege. Dies ist ja nicht der Fall, da er ja unbedingt die 777 für einen generellen Zugriff auf den Share benötigt. ( oder eben das force user root )

Entschuldige wenn ich etwas auf dem Schlauch stehe.

Die Standard Linux rechte vergibst du so, dass Samba Zugriff hat. Niemand sonst .kein anderer Linux User hat dann Zugriff. Im Samba legst du die Domain User an. Die gesamte weitere Rechtsvergabe erfolgt dann unter Windows. Du kannst die Shared anklicken, rechte Maustaste , Eigenschaften / Sicherheit und dann (wenn du als Admin angemeldet bist) Besitzer und rechte auf der Share vergeben.

Deine User melden sich am Samba an, Samba prüft dann gegen die Acls ob die User berechtigt sind

Nachtrag, in Linux zeigt er dir dann zb als Besitzer sowas wie 3000014 an, das sind die internen ids vom Samba

Force User Root bedeutet, dass du quasi Samba die rechte entziehst. Und nur der User Root über is Mapping einen Zugriff bekommen dürfte.

So habe ich das zumindest bisher verstanden

Okay ja also das ist ne gute Idee.

Genau die ID's hatte ich bereits auch schon gefunden gehabt. Muss ich die Rechtevergabe dann jedesmal über Windows regeln lassen ?

Geplant war die über ein Script in nem Webinterface freigeben zu können. Das mit dem Samba User ist ne super Idee nur finde ich aktuell nicht den passenden User zu meinem Samba-Server. (gibt es da einen Default User ?)

Die ACL würde ich dann gerne über setfacl usw dann pro Unterordner usw triggern können. Muss ich da dann mit den 3000000er ID's arbeiten oder wie funktioniert das ?

Samba legt sich ne eigene Gruppe und nen eigenen User an.

Mit

 ps -aux

Bekommst du die Prozessliste, bei mir läuft der unter root. Kann aber sein, dass die Verzeichnisse den Linux Samba User fordern, da bin ich gerade nicht sicher.

Ich würde Force root entfernen, Gruppe auf 770 root:root die Rechte lassen und dann mal mit Windows testweise Rechte setzen.

Das bearbeiten der Rechte mit setacl sollte gehen, mit getacl kann ich mir die zumindest anzeigen lassen.

Beachte nur, dass auch bei root:root weitere Rechte in acls vergeben werden können, also nicht nur root darauf zugreifen kann.

Ich kann dir allerdings gerade nicht sagen, wie du an die ids kommst, da ich die Administration komplett unter Windows vornehme. Das ist ja eigentlich auch der Grund für ne Active Directory Domain.

Lädst dir das Windows Add on runter zur Domain Verwaltung, lässt die Rechte schön über Gruppen laufen und legst dann einfach User an und ordnest die den Gruppen zu. Dafür würde ich keine Weboberfläche bauen 😉

Nachtrag: die Gruppenzuordnung geht bestimmt auch mit Samba Tools von Linux. Google da mal 😉

okay perfekt das ist schon mal einiges ☺

Der Vorschlag mit 770 und root:root bringt jedoch leider nichts ohne den force user root, denn sonst verweigert er mir komplett den zugriff auf die Shares.. egal was ich an Benutzern eingegeben habe. ( er versucht dann immer den "Domain\Nutzer" Wert irgendwo bei Owner oder Group zu finden )

Geplant von meinem lieben Herrn Chef ist jedoch das die Ordner freigegeben sind und er dann zur not über eine Weboberfläche ( auf die nur die Führung zugriff hat ) dann jeweils die Unterordner beschränken kann. Dies soll dazu dienen kurzfristig mal ein Ordner für einen Mitarbeiter/Praktikanten etc. freizugeben und Ihn dann einfach wieder sperren zu können (sollen auch Leute machen die keine Ahnung von PC's haben)

Dementsprechend steht aktuell schon ein Script das mir die setfacl ausführt und die Ordner dementsprechend freigibt.

Das Grobe Problem ist nur halt das er die komplette ACL Kiste ignoriert 😀 und mir irgendwelche Benutzerkombis weiter gibt die scheinbar nur Samba kennt... davon abgesehen das er die Ordner nur mit 777 oder force user freigibt ( da er als Benutzer die "Domain\" vor den Nutzer klatscht )

Die Samba Gruppen und User Zuordnung ist mit samba-tool möglich und steht auch soweit 😀 nur diese doofe vorgeschobene Domain macht mich kirre 😀

Hast du dich unter Windows mal als Admin angemeldet und den Zugriff versucht?!? User Administrator unter der Domain vorhanden? Einen Rechner in die Domain aufgenommen?

Domain User sind immer Domain/User, Samba setzt dass dann in eine ID aus der Domain um.

Nimm doch mal die Anleitung von https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domain_Controller

Und schau was du davon gemacht hast und was nicht.

Meine Verzeichnisrechte lauten für die Shares auf unerkannter benutzer(ID):users Auch für die unterverzeichnisse.

Durch die Rechte der ACLs ist aber gewährleistet, dass zum Beispiel meine Frau keinen Zugriff auf meine Share hat. Da ihr Windows Zugriff immer mit Domain/Name erfolgt und daher ihr Linux User (Mails) keine Rolle spielt. Da der Linux User sich nicht über die Bash anmelden kann und damit keinen Linux Zugriff hat: perfekt.