ubuntuusers.de

Hallo ich bin es mall wider mit zwei Frage zu meinem Samba Server.

Nun die erste Frage dreht sich um die Sichtbarkeit der freigegebenen Ordner.

Ich möchte das man die Ordner nur dann sieht wen man Mietglied der dazugehörenden Gruppe ist.

So wie bei den Home Verzeichnisse.

Die zweite dreht sich um ein tausch Ordner.

Ich möchte das jeder der zur Gruppe gehört die Daten lesen und ausführen darf aber nur der Admin und die Person die Datei erstellt hat die Datei ändern oder löschen darf.

Hoffe ihr könnt mir helfen.

mfg. derEisige

Hallo,
Teil 1:

hide unreadable = yes

Teil 2: versuch mal für die Freigabe

create mask = 0640
directory mask = 0750
force group = GrupppeDieLesenDarf

einzustellen. Das müsste schon reichen.

also so

[Dokus]
    comment = Dokus
    path = /home/share/Dokus
    writeable = no
    write list = root,@allgemein
    hide unreadable = yes
    create mask = 0640
    directory mask = 0750
    force group = @allgemein

Das bringt nichts man kann immer noch die Daten von anderen löschen und bearbeiten und man sieht immer noch alle freigegebene Laufwerke

Also es sind create masks die wirken nur auf neue Dateien (nur über Samba Samba angelegte).

Alte Dateien kann man aber anpassen sobald es prinzipiell läuft.

Du hast etwas von Ordnern geschrieben, jetzt plötzlich von Laufwerken. Also ein Ordner in diesem share auf den ein User keinen Zugriff hat sollte nun unsichtbar sein. Folgender test sollte das zeigen:

1
2
3
4

cd /home/share/Dokus/
mkdir hiddenfolder 
chown root:root hiddenfolder 
chmod 0700 hiddenfolder 

root (den du scheinbar als Samba user nuzt) kann nun als einziger diesen Ordner sehen.

oke Danke das mit der Rechte Vergabe kalbt jetzt.

aber das mit dem hide unreadable funktioniert noch nicht

[global]
workgroup = WORKGROUP
netbios name = Weitss-Home

server string = %h server (Samba %v)
log file = /var/log/samba/log.%m
max log size = 1000
encrypt passwords = yes
invalid users = root
socket options = TCP_NODELAY
security = user
wins support = yes
unix extensions = yes

guest account = nobody

hide unreadable = yes

hide dot files (G)
hide files = /?esktop.ini/ntuser.ini/NTUSER.*/?humbs.db/

ea support = yes
map hidden = no
map system = no
map archive = no
store dos attributes = yes

Ich möchte, dass man die Ordner nur dann sieht wenn man Mitglied der dazugehörenden Gruppe ist.

Die Zugriffsrechte auf Samba-Freigaben kann man auf zweierlei Arten einschränken:

1. über die UNIX-Dateirechte auf dem Server. So hast Du es gemacht. Oder aber:

2. über die Optionen valid users, invalid users, write list in dem Eintrag für die Freigabe in smb.conf. Nur darauf bezieht sich die Option hide unreadable. Denn normalerweise sieht ein invalid user die Freigabe schon, kann aber nicht darauf zugreifen. Mit hide unreadable sieht er sie dagegen gar nicht.

Wenn Du bei der Freigabe folgende Zeilen eingibst

valid users = @GRUPPE
hide unreadable

dann sehen nur die Mitglieder der Gruppe GRUPPE die Freigabe, alle Anderen nicht.

Gruß – Max-Ulrich

EDIT:

   write list = root,@allgemein

Das mit root funktioniert nebenbei auch nicht, denn root ist global als invalid users festgelegt, darf also gar nichts. Aus Sicherheitsgründen ist das sinnvoll.

Hallo,
ich bin mir auch nicht sicher ob sich darüber überhaupt die Sichtbarkeit von Freigaben einstellen lässt. Es funktioniert aber definitiv (gestern extra getestet) für Verzeichnisse innerhalb der Freigabe.

Je nach setup (z.B. ohne domänenanmeldung) dürfte das ja auch garnicht richtig klappen. Ich werde dann ja evtl erst beim Versuch eine Freigabe zu öffnen nach meinem Passwort gefragt, dann ist erst klar ob ich darauf zugreifen kann. Diesen Ordner dann noch nachträglich unsichtbar zu machen ist ja irgendwie quatsch. Also sieht ein nicht in der domäne angemeldeter Rechner eh immer alle shares. Ausserdem wird unter Windows ja eh meist mit Netzlaufwerken gearbeitet, um dann die logon scripts einfach zu halten mache ich gerne nur eine Freigabe und löse den ganzen Rest über die Verzeichnisrechte. Dort funktioniert auch das verstecken (obwohl ich es bewusst nicht nutze).

@salocin:

Du wirst wohl Recht haben. Ich bin da etwas mit browsable = no durcheinander gekommen, sorry! Und das gilt dann ja für alle, ist also nicht, was der Threadstarter sich wünscht.

Ok also ist das was ich will nicht möglich.

Das mit dem root war ein fernsehen sollte eigentlich @verwaltung sein.

Wenn ein User nun was erstellt ist das ja mit create mask = 0640 und directory mask = 0750 geregelt, aber wie bekomme ich es nun hin das die @verwaltung auch alle rechte hat und somit create mask, directory mask umgehen kann.

Samba hält sich an die Datei-Rechte des Linux auf dem es läuft. Du kannst die User ja auf dem System genauso verwalten, wie jeden anderen User des Systems auch. Inklusive Zugriffsrechten.

Wenn ich z.B. einen Ordner Buchhaltung habe, auf den Karl, Hans und Peter zugreifen dürfen, und in dem Ordner gibts einen Unterordner Abrechnung, da dürfen nur Hans und Peter rein. Dann mache ich den Ordner Buchhaltung für die Gruppe "buchhaltung" les- und schreib-bar, und den Abrechnung Ordner für die Gruppe "abrechnung". Dann packe ich Karl, Hans und Peter in die Gruppe "buchhaltung" und anschließend Hans und Peter zusätzlich noch in die Gruppe "abrechnung". Thema erledigt.

Ganz Praktisch in solchen Zusammenhängen, wo mehrere User im selben Verzeichnis zusammen arbeiten sollen, ist übrigens das Set-GID-Bit auf den Ordner an zu wenden.

@Lookbehind:

Ganz klar, die Zugriffsrechte lassen sich über die UNIX-Dateirechte und ACL regeln und nötigenfalls auch noch über die Optionen valid users, invalid users, write list in dem Eintrag für die Freigabe in smb.conf weiter einschränken. Das ist ja kein Problem. Der Trendstarter will aber, dass nur bestimmte User die Freigaben überhaupt sehen können. Da, und nicht bei den Zugriffsrechten, liegt das Probölem.