13
Samba Dateiberechtigung unter SUSE 10
Hallo,
Ich habe folgende Situation:
Auf einem SUSE 10.2 Server möchte ich unter Samba eine Dateiberechtigung einrichten.
Ich habe da etwas Probleme damit und hätte das gerne etwas Erklärt.
Vielleicht kann mir da jemand etwas helfen.
Ich habe einen Ordner angelegt, der nennt sich Bilder.
Unter diesem legte ich den Ordner Urlaub an.
Darunter den Ordner 2013.
Jetzt habe ich Benutzer angelegt:
Helga, Marion und Michaela. Die drei sind auch in der Gruppe Familie.
Dann gibt es noch den Benutzer Hans.
Jetzt sollte die Gruppe Familie alles in den Ordnern machen dürfen.
Also sie sollen in den Ordner 2013 Bilder speichern löschen und ändern dürfen.
Hans aber darf in dem Ordner 2013 nur speichern, die Bilder die er dort gespeichert hat darf er auch
wieder löschen oder ändern, er darf aber nicht die Bilder löschen die einer von der Gruppe dort gespeichert hat.
Wie muss die Berechtigung von dem Ordner 2013 ( oder vielleicht auch von den anderen) und die smb.conf aussehen?
Sollte der Ordner nicht so aussehen:
drwxrwxr-x Helga Familie 2013
Passt das mit dem Helga und Familie?
Und wie muss die smb.conf aussehen?
Gruß
Helmut
Ich habe folgende Situation:
Auf einem SUSE 10.2 Server möchte ich unter Samba eine Dateiberechtigung einrichten.
Ich habe da etwas Probleme damit und hätte das gerne etwas Erklärt.
Vielleicht kann mir da jemand etwas helfen.
Ich habe einen Ordner angelegt, der nennt sich Bilder.
Unter diesem legte ich den Ordner Urlaub an.
Darunter den Ordner 2013.
Jetzt habe ich Benutzer angelegt:
Helga, Marion und Michaela. Die drei sind auch in der Gruppe Familie.
Dann gibt es noch den Benutzer Hans.
Jetzt sollte die Gruppe Familie alles in den Ordnern machen dürfen.
Also sie sollen in den Ordner 2013 Bilder speichern löschen und ändern dürfen.
Hans aber darf in dem Ordner 2013 nur speichern, die Bilder die er dort gespeichert hat darf er auch
wieder löschen oder ändern, er darf aber nicht die Bilder löschen die einer von der Gruppe dort gespeichert hat.
Wie muss die Berechtigung von dem Ordner 2013 ( oder vielleicht auch von den anderen) und die smb.conf aussehen?
Sollte der Ordner nicht so aussehen:
drwxrwxr-x Helga Familie 2013
Passt das mit dem Helga und Familie?
Und wie muss die smb.conf aussehen?
Gruß
Helmut
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 230780
Url: https://administrator.de/contentid/230780
Printed on: April 18, 2024 at 23:04 o'clock
13 Comments
Latest comment
Den peinlichen Fauxpas mit "SÜSE" in der Überschrift korrigiert immer der "Bearbeiten" Button !
Hi Helmut,
Fein granulare Berechtigungen würde ich nicht in der smb.conf versuchen zu realisieren sondern über ACLs.
mfg
Cthluhu
Fein granulare Berechtigungen würde ich nicht in der smb.conf versuchen zu realisieren sondern über ACLs.
mfg
Cthluhu
Hallo Cthluhu
Ich war jetzt ein paar Tage an einer anderen Sache.
Muss jetzt aber an der Berechtigungssache mal weiter kommen.
Wie realisiert man das aber bei meiner Sache genau über ACLs ?
Gruß
Helmut
Ich war jetzt ein paar Tage an einer anderen Sache.
Muss jetzt aber an der Berechtigungssache mal weiter kommen.
Wie realisiert man das aber bei meiner Sache genau über ACLs ?
Gruß
Helmut
Und warum nicht über die smb.conf?
Hallo Cthluhu,
Ich hab das noch mal versucht.
Das geht doch mit dem ACLs nicht.
Wenn ich dem Verzeichnis 2013 mit chmod 775 2013 gebe,
dann kann sich doch Hans auf das Verzeichnis verbinden, kann aber
dort dann nichts speichern.
Wenn ich eine Berechtigung 777 auf das Verzeichnis 2013 gebe.
Dann kann Hans auch die Bilder von den anderen löschen.
Wie soll das gehen?
Gruß
Helmut
Ich hab das noch mal versucht.
Das geht doch mit dem ACLs nicht.
Wenn ich dem Verzeichnis 2013 mit chmod 775 2013 gebe,
dann kann sich doch Hans auf das Verzeichnis verbinden, kann aber
dort dann nichts speichern.
Wenn ich eine Berechtigung 777 auf das Verzeichnis 2013 gebe.
Dann kann Hans auch die Bilder von den anderen löschen.
Wie soll das gehen?
Gruß
Helmut
Hi Helmut,
chmod setzt keine ACLs. Mit chmod kannst du nur Berechtigungen für einen User und eine Gruppe (und others) setzen. Du musst getfacl und setfacl verwenden. Damit kannst du Berechtigungen für einzelnen User und verschiedene Gruppen anpassen (nicht nur jeweils eines).
mfg
Cthluhu
chmod setzt keine ACLs. Mit chmod kannst du nur Berechtigungen für einen User und eine Gruppe (und others) setzen. Du musst getfacl und setfacl verwenden. Damit kannst du Berechtigungen für einzelnen User und verschiedene Gruppen anpassen (nicht nur jeweils eines).
mfg
Cthluhu
Hallo Cthluhu,
Ich bekomme das mit getfacl und setfacl nicht so hin
wie ich das gerne hätte.
Kannst du mir da etwas weiterhelfen?
Danke.
mfg
Helmut
Ich bekomme das mit getfacl und setfacl nicht so hin
wie ich das gerne hätte.
Kannst du mir da etwas weiterhelfen?
Danke.
mfg
Helmut
Hi Helmut,
Schau mal hier: http://stackoverflow.com/questions/580584/setting-default-permissions-f ...
Von hans im Ordner 2013 erzeugte Dateien sollten nun automatisch mit hans:family getaggt sein.
Achtung: Code ist ungetestet und soll nur ein Vorschlag sein.
mfg
Cthluhu
Schau mal hier: http://stackoverflow.com/questions/580584/setting-default-permissions-f ...
chown root:family 2013
chmod g+rwxs 2013 # Gruppe darf alles in Ordner "2013" und bei neuen Dateien wird automatisch die Gruppe family gesetzt
setfacl -x u:hans:rwx 2013 # hans is außerhalb der Gruppe darf aber schreiben.Achtung: Code ist ungetestet und soll nur ein Vorschlag sein.
mfg
Cthluhu
Hallo Cthluhu,
Danke erst mal für den Vorschlag.
Das mit
chown root:family 2013
ist mir klar und funktioniert auch.
Das mit
chmod g+rwxs 2013
ist mir auch klar und funktioniert auch.
Aber
setfacl -x u:hans:rwx 2013
Verstehe ich nicht, und da bekomme ich auch die Fehlermeldung:
Option -x: Invalid Argument near charakter 8
Kannst du mir das besser erklären.
Das Interessiert mich jetzt wie das Richtig geht.
Gruß
Helmut
Danke erst mal für den Vorschlag.
Das mit
chown root:family 2013
ist mir klar und funktioniert auch.
Das mit
chmod g+rwxs 2013
ist mir auch klar und funktioniert auch.
Aber
setfacl -x u:hans:rwx 2013
Verstehe ich nicht, und da bekomme ich auch die Fehlermeldung:
Option -x: Invalid Argument near charakter 8
Kannst du mir das besser erklären.
Das Interessiert mich jetzt wie das Richtig geht.
Gruß
Helmut
Hallo Cthluhu,
Mit dem Befehl setfacl -x ... geht's nicht.
Ich hab da setfacl -m u:hans:rwx da kommt keine Fehlermeldung.
Dann sollte es doch mit setfacl -m u:hans:--- auch gehen.
Da darf der user hans nichts mehr.
Er sollte aber Bilder speichern und seine Bilder wieder löschen dürfen.
Geht da auch?
Gruß
Helmut
Mit dem Befehl setfacl -x ... geht's nicht.
Ich hab da setfacl -m u:hans:rwx da kommt keine Fehlermeldung.
Dann sollte es doch mit setfacl -m u:hans:--- auch gehen.
Da darf der user hans nichts mehr.
Er sollte aber Bilder speichern und seine Bilder wieder löschen dürfen.
Geht da auch?
Gruß
Helmut
Hi Helmut,
Sry, das -x muss natürlich ein -m sein. Hab da wohl ein bisschen geschusselt. Erklärung dafür liefert die manpage
Warum sollte es mit gehn?
Was passt an nicht?
mfg
Cthluhu
Sry, das -x muss natürlich ein -m sein. Hab da wohl ein bisschen geschusselt. Erklärung dafür liefert die manpage
man setfaclWarum sollte es mit
setfacl -m u:hans:---Was passt an
setfacl -m u:hans:rwxmfg
Cthluhu
Hi,
Bin soeben noch über was drübergestolpert. Wenn man Berechtigungen sowohl mit chmod als auch mit setfacl setzt kann es zu Diskrepanzen kommen. Ich weiß nicht wie, aber ich habe es geschafft, dass "ls -l" für die Gruppe rwx anzeigt, "getfacl" jedoch "r-x". In diesem Fall gelten (zumindest bei meinem Testfall) die ACLs.
mfg
Cthluhu
Bin soeben noch über was drübergestolpert. Wenn man Berechtigungen sowohl mit chmod als auch mit setfacl setzt kann es zu Diskrepanzen kommen. Ich weiß nicht wie, aber ich habe es geschafft, dass "ls -l" für die Gruppe rwx anzeigt, "getfacl" jedoch "r-x". In diesem Fall gelten (zumindest bei meinem Testfall) die ACLs.
mfg
Cthluhu
Hallo Helmut,
ich habe etwas ähnliches auf unserem Samba-Server. Was du hier brauchst ist das sticky-bit.
Du kannst dies z.B. in der smb.conf über "create mask = 1xxx" forcen.
Dadurch kann nur der eigentümer einer Datei diese andern/löschen.
In verbidung mit dem SGID.bit solltest du dann erreichen was du dir vorstellst.
Nutzt du nur das sticky-bit, würde ich erwarten, dass auch die besitzende Gruppe die Datei eines Gruppenmitgliedes nicht löschen kann.
ich habe etwas ähnliches auf unserem Samba-Server. Was du hier brauchst ist das sticky-bit.
Du kannst dies z.B. in der smb.conf über "create mask = 1xxx" forcen.
Dadurch kann nur der eigentümer einer Datei diese andern/löschen.
In verbidung mit dem SGID.bit solltest du dann erreichen was du dir vorstellst.
Nutzt du nur das sticky-bit, würde ich erwarten, dass auch die besitzende Gruppe die Datei eines Gruppenmitgliedes nicht löschen kann.
