ubuntuusers.de

Hi there!

Ich hab da mal so ein kleines Problemchen:

Und zwar habe ich mit ein kleines NAS zusammengezimmert, auf dem ein Ubuntu-Server 8.04 läuft. Per Samba greife ich aktuell auf die Platteninhalte zu und bin im Grossen und Ganzen recht zufrieden damit.

Das Problem ist jetzt, dass ich Teile der Platte auch anderen Usern freigeben möchte. Ich möchte also einmal per Samba einen "Vollzugriff" auf die ganze Datenpartition des NAS für mich als "Besitzer" und zusätzlich verschiedene "Teilfreigaben", also als readonly freigegebene Unterordner für andere User.

Jetzt will ich für andere User, die Readonly-Zugriff bekommen sollen KEINE eigenen Systemuser anlegen. Trotzdem sollen diese Zugriffe möglich sein. Ich habe leider noch keinen wirklichen Weg gefunden, diese Freigaben zum laufen zu bekommen - Jemand hier, der eine Idee hat?

Für Samba müssen immer Systemuser existieren! Einzige Ausnahme: nobody, den es auf jedem Linux schon gibt. Also entweder du legst einen Nutzer an, mit dem alle zugreifen oder du nutzt nobody, also "Gast" für einen read-only-Zugriff.

MfG Dalai

ok - jetzt habe ich einen user "guest", der sich nicht einloggen darf, aber für den es einen gleichnamigen samba-user gibt. trotzdem kann er sich nicht über smb einloggen in verzeichnisse mit den rechten 755 (bzw 644 für dieenthaltenen dateien), wenn die verzeichnisse/dateien NICHT im besitz des users guest sind und dieser user auch nicht der gruppe angehört, der diese dateine gehören...

wie regel ich das, ohne die gruppenzugrhörigkeiten entscheidend zu ändern?

Bitte probieren, ob der Zugriff über smbclient auf der Konsole mit diesem User klappt.

MfG Dalai

Zuerst sollte man wissen, was für ein Dateisystem auf dem NAS läuft. Wenn das ext3 ist, kann man die Zugriffsrechte dort mit "chown" und "chmod" einschränken; dies wird dann auch auf den Clients respektiert (allerdings müssen dann die uid und gid übereinstimmen). Wenn das hingegen FAT oder NTFS ist, muss man es über Samba regeln.

Am besten geht das in Samba mit dem Parameter "valid users" bzw. "invalid users" in der Datei /etc/samba/smb.conf bei den betreffenden Freigaben. Dort kannst Du eine Komplett-Freigabe mit "writable = yes" ohne Gast-Zugang (public = no) einrichten mit Dir selbst als einzigem "valid user", und noch einzelne Freigaben mit "writable = no" für die anderen Berechtigten (evtl. auch mit Gast-Zugang "public = yes", falls das nicht zu kritisch ist). Es ist in Samba kein Problem, Unterordner einer Freigabe nochmal mit anderen Rechten einzeln freizugeben.

Wenn Du die Freigaben über GNOME einrichtest, geht das nicht so einfach. Aber Du hast ja, wenn ich das richtig sehe, sowieso keine GUI auf Deinem NAS.

Gruß - Max-Ulrich

EDIT:

Wenn Du die Freigaben über GNOME einrichtest, geht das nicht so einfach

Warum eigentlich nicht? Es müsste auch gehen, nur habe ich es noch nie probiert!

Hi

Danke für die Antworten! Auf dem NAS läuft ext3 als Dateisystem und keine GUI - alles wird via SSH administriert.

Ich selber greife auf meine Daten wie folgt zu:

[data]
        comment         = raid1
        path            = /media/raid/data
        browseable      = no
        readonly        = no
        create mask     = 644
        directory mask  = 755
        valid users     = xenon
        force user      = xenon
        force group     = xenon
        guest ok        = no
        available       = yes

woebi "xenon" mein Benutzername als auch mein Gruppenname ist. Meine readonly-Freigabe sieht wie folgt aus:

[freigabe]
        comment         = readonly
        path            = /media/raid/data/freigabe
        browseable      = yes
        readonly        = yes
        create mask     = 644
        directory mask  = 755
        valid users     = xenon,guest
        force user      = xenon
        force group     = xenon
        guest ok        = no
        available       = yes

Erstere Freigabe funktioniert tadellos, bei letzterer ist es unmöglich, sich auch nur einzuloggen. Per smbpasswd sind die entsprechenden Passworte/Accounts erzeugt worden und ein Systemuser "guest" exisitert auch...

Darf denn der Nutzer guest überhaupt in das fragliche Verzeichnis wechseln und dort lesen? Wenn das nicht geht, kann Samba auch nichts machen. Oder anders gesagt: Samba kann nichts erlauben, was im Dateisystem selbst verboten ist. Andersrum geht es aber schon.

MfG Dalai

Das ist immer so ein Problem, wenn man mit "force user" usw. arbeitet und gleichzeitig die cifs-UNIX-Extensions verwendet, die nicht mit Usernamen, sondern mit GID und UID arbeiten (wie NFS).

Mein Vorschlag wäre: Lege mit chown und chmod auf dem Server (NAS) die Rechte genau so fest, wie Du sie nachher haben willst. Richte dann auf dem Server und dem Client (bzw. den Clients) gleiche UIDs und GIDs für die Benutzer ein und konfiguriere Samba ohne "force user" usw. so, dass nur Du auf die Freigaben zugreifen kannst.. Mounte dann die Freigaben auf den Clients mit cifs statisch über einen Eintrag in /etc/fstab mit Deinem Namen und Passwort (am besten in einer versteckten Datei abgelegt wie in Samba Client/cifs beschrieben). Beim Zugriff auf die gemounteten Freigaben werden die auf dem NAS festgelegten Rechte respektiert, d.h. die anderen User können da nicht schreiben, wo sie es nicht können sollen. Wie wenn sie direkt am Server arbeiten würden.

Oder sollen die anderen User sich selbst mit ihren Laptops einloggen dürfen? Dann geht das natürlich so nicht.

Gruß - Max-Ulrich