Samba/Dateiberechtigungen

Computer: Software & Programmierung UNIX & Linux
#1

Hallo!

Ich würde gerne folgendes realisieren. Eine allgemein zugängliche Freigabe, auf die alle Benutzer zugreifen können. Wenn ein Benutzer eine Datei oder ein Verzeichnis anlegt, dann soll nur er und die Administratoren Schreibrechte auf die Datei haben. Der Haken ist jetzt, ich würde es gerne so haben, dass andere Benutzer zwar das Verzeichnis das ein Benutzer angelegt hat nicht löschen kann, aber schon eigene Dateien erstellen können.

Mein Ansatz ist im Moment der, dass jeder Benutzer eine eigene Gruppe hat, der er und die Administrator-Gruppe angehört (nicht so tragisch, sind nicht so viele Benutzer). Beim Erstellen einer Datei lasse ich vom Samba aus die Berechtigungen „rwxrwxr-x“ vergeben. Bei Verzeichnissen „rwxrwxrwx“.

Woran ich damit scheitere ist, dass dann jeder Benutzer alle Dateien in den Verzeichnissen löschen kann, weil scheinbar die Berechtigungen des Verzeichnisses die der Datei überschreiben (Datei „rwxrwxr-x“ in Verzeichnis „rwxrwxrwx“ kann von Benutzer dem die Datei nicht gehört und der auch nicht in der Gruppe ist trotzdem gelöscht werden). Wenn ich jetzt dem Verzeichnis „rwxrwxr-x“ zuweise, dann können wiederum nicht alle Benutzer in dem Verzeichnis eine Datei anlegen, was ich doch gerne hätte.

Weiß jemand wie ich das Dilemma lösen kann? :o)

Danke und Grüße, Robert

#2

Hallo!

Ich würde gerne folgendes realisieren. Eine allgemein
zugängliche Freigabe, auf die alle Benutzer zugreifen können.
Wenn ein Benutzer eine Datei oder ein Verzeichnis anlegt, dann
soll nur er und die Administratoren Schreibrechte auf die
Datei haben. Der Haken ist jetzt, ich würde es gerne so haben,
dass andere Benutzer zwar das Verzeichnis das ein Benutzer
angelegt hat nicht löschen kann, aber schon eigene Dateien
erstellen können.

Sofern ich das richtig verstanden habe sollte folgendes funktionieren.

User +rw
Group ( Admin ) +rw
Other +r

in smb conf

[Share]
valid users = User1 User2 … @Admin

wenn User1 Datei anlegt kann user2 nur lesen weil er
über Samba Recht zwar zugriff auf Share erhält aber das file nichtvon ihm angelegt wurde und er folglich nur über other zugriff erhält ( Linux recht )

Phagsae

klappts ???

#3

Hallo!

Das beseitigt leider nicht das Problem, dass der Benutzer beliebige Dateien löschen kann sobald er Schreibrechte auf das Verzeichnis hat.

Grüße, Robert

#4

Hmmmmm…

löschen kann er aber nur seine eigenen.
Hast du den guest ok vergessen auf no zu setzten ?
Und security nicht auf share

Ich glaube Samba ist so configuriert das es die Unix rechte umgeht

Mit welchen rechten wird denn eine Datei von user1 gespeichert ?
Auf welches Filesystem greifst du zu ?
Hast du den createmode und/oder force mode richtig gesetzt ?

Phagsae

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#5

löschen kann er aber nur seine eigenen.
Hast du den guest ok vergessen auf no zu setzten ?

Nö, das hab ich nicht gemacht.

Und security nicht auf share

Job, ist auf Server (kommt von einem NT-Domänenserver).

Ich glaube Samba ist so configuriert das es die Unix rechte
umgeht

Hmmm, verstehe. In die Richtung habe ich es noch nicht probiert, wollte es immer mit den Unix-Rechten machen.

Mit welchen rechten wird denn eine Datei von user1 gespeichert
?

rwxrwxr-x
User: user1
Gruppe: user1_grp (Mitglieder user1 und adm)

Auf welches Filesystem greifst du zu ?

ext2fs

Hast du den createmode und/oder force mode richtig gesetzt ?

Job, Directory und File auf jeweils die Werte die ich schon im ursprünglichen Posting geschrieben habe.

Danke und Grüße, Robert

#6

Job, ist auf Server (kommt von einem NT-Domänenserver).

Also bei NT muss ich passen

Ich glaube Samba ist so configuriert das es die Unix rechte
umgeht

Hmmm, verstehe. In die Richtung habe ich es noch nicht
probiert, wollte es immer mit den Unix-Rechten machen.

Damit auch WinX user auf Samba zugreifen können imitiert
Samba alle rechte da Win keine Rechtevergabe kennt
Das ist die default configuration

Mit welchen rechten wird denn eine Datei von user1 gespeichert
?

rwxrwxr-x
User: user1
Gruppe: user1_grp (Mitglieder user1 und adm)

ist dann user 2 mitglied in user2_grp und admin ?

Hast du den createmode und/oder force mode richtig gesetzt ?

Job, Directory und File auf jeweils die Werte die ich schon im
ursprünglichen Posting geschrieben habe.

Jo wurde aber nicht klar ob in der smb.conf oder auf der unix ebene

Hoppla !

folgender Text aus Buch ( war mir so auch nicht klar :wink:

…Das Recht eine Datei zu löschen ist von den Zugriffsrechten der Datei selbst unabhänging. Wenn ein Benutzer in einem Dir eines Anderen Benutzers Schreibrecht besitzt so kann er dort Dateien löschen auch wenn diese schreibgeschützt sind !!!

das könnte wohl dem Prob nahe kommen . oder ?

Phagsae

#7

ist dann user 2 mitglied in user2_grp und admin ?

Jo, user2_grp schon, adm natürlich nur, wenn er auch Admin ist. :smile:

Jo wurde aber nicht klar ob in der smb.conf oder auf der unix
ebene

Aso. Ich hab immer gedacht, dass geht nur auf Ebene des Prozesses der Datei/Verzeichnis anlegt und damit smb.conf/Samba. :smile:

das könnte wohl dem Prob nahe kommen . oder ?

Genau das ist es. :smile:

Wird wohl nicht hinzukriegen sein, so wie ich es gerne hätte, aber bin schon froh über Bestätigung, dass das normal ist. Finde ich aber irgendwie seltsam das System, für Löschen Schreibrecht auf Datei erschien mir irgendwie logischer.

Grüße, Robert