6
Zugriffsrechte-Problem unter Debian(etch) (Server) und WinXP(clients)
Hallo an alle!
Ich verzeifel langsam an meinem System...Ich hoffe von Euch weiß jemand Rat:
Der Server ist ein Schulserver mit Anbindung von ca. 1000 User und 100 clients (alle XP Prof. ServicePack3).
Der Server läuft unter Skolelinux (Debian/etch) mit einer LDAP-Benutzerverwaltung.
Die User (einzelne Lehrer und Schüler und Maschinen) werden mittels einer Webmaske von lwat eingetragen und den Gruppenvorlagen teachers und students zugeordnet.
Nun ist das Problem, dass jedesmal wenn ein User ein Dokument erzeugt und dies in seinem home-Verzeichnis ablegt, dieses nicht verändern kann. Er muss jedesmal einen neuen Dateinamen vergeben. Mittels webmin habe ich herausgefunden, das die User nur lese-Rechte (Oktal:4) erhalten für ihre Verzeichnisse und Dokumente, aber die Gruppe: rwx. Z. B. der Lehrer Gandalf ist in der Gruppe teacher. Wenn er ein Worddokument im Lehrertauschwerk speichert, erhält er nur Leserechte für sein Dokument, die Gruppe teachers aber rws.
Die valid users für das Lehrertauschwerk sind @teachers @admins.
ls -la zeigt:
drwxrws--- 2 root teachers
-r-------- 1 gandalf teachers -> für ein Worddokument im Lehrertauschverzeichnis
drwxrws--- 2 root teachers 4096 2009-01-03 02:24 lehrertausch -> Zugriffsrechte für das Verzeichnis
Das Gleiche passiert aber auch im eigenen home-Verzeichnis (auch im Schülerverzeichnis).
Es ist nicht möglich, ein Dokument zu ändern. Jedesmal muss ein neuer Name vergeben werden.
Weiß jemand Rat?
Grüße, Geesa
Nun ist das Problem, dass jedesmal wenn ein User ein Dokument erzeugt und dies in seinem home-Verzeichnis ablegt, dieses nicht verändern kann. Er muss jedesmal einen neuen Dateinamen vergeben. Mittels webmin habe ich herausgefunden, das die User nur lese-Rechte (Oktal:4) erhalten für ihre Verzeichnisse und Dokumente, aber die Gruppe: rwx. Z. B. der Lehrer Gandalf ist in der Gruppe teacher. Wenn er ein Worddokument im Lehrertauschwerk speichert, erhält er nur Leserechte für sein Dokument, die Gruppe teachers aber rws.
Die valid users für das Lehrertauschwerk sind @teachers @admins.
ls -la zeigt:
drwxrws--- 2 root teachers
-r-------- 1 gandalf teachers -> für ein Worddokument im Lehrertauschverzeichnis
drwxrws--- 2 root teachers 4096 2009-01-03 02:24 lehrertausch -> Zugriffsrechte für das Verzeichnis
Das Gleiche passiert aber auch im eigenen home-Verzeichnis (auch im Schülerverzeichnis).
Es ist nicht möglich, ein Dokument zu ändern. Jedesmal muss ein neuer Name vergeben werden.
Weiß jemand Rat?
Grüße, Geesa
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 105096
Url: https://administrator.de/contentid/105096
Printed on: April 25, 2024 at 02:04 o'clock
6 Comments
Latest comment
Hat jeder Lehrer und Schüler sein eingenes Home-Verzeichnis ?
Wenn ja lässt sich dass doch einfach mit dem webmin festlegen, mit welchen Rechten Dateien abgelegt werden:
http://thomas-becker.de/chmod.htm
Wenn ja lässt sich dass doch einfach mit dem webmin festlegen, mit welchen Rechten Dateien abgelegt werden:
http://thomas-becker.de/chmod.htm
Hallo Fred!
ja, jeder hat sein eigenes home. Die Lehrer dazu einen Lehrertausch und die Schüler noch dazu ein Klassenverzeichnis (in denen auch die Lehrer reingucken dürfen und eigentlich auch reinschreiben drüfen sollten - was auch nicht geht). Dazu gibt es noch ein öffentliches Lehrer-Schüler-Tausch-Verzeichnis, in dem also jeder reinschreiben darf.
hier die setacl.sh:
#!/bin/sh
DIR="/skole/tjener"
GROUPS="teachers admins"
setfacl -Rb $DIR/
find $DIR/tausch/ -type d -exec chmod 2775 {} \;
find $DIR/tausch/ -type f -exec chmod 664 {} \;
find $DIR/homes/ -type d -exec chmod 2775 {} \;
find $DIR/homes/ -type f -exec chmod 664 {} \;
for X in $GROUPS ; do
setfacl -R -m g:$X:rwx $DIR/homes/students/
setfacl -R -m g:$X:rwx $DIR/homes/teachers/
setfacl -R -m g:$X:rwx $DIR/tausch/
done
ja, jeder hat sein eigenes home. Die Lehrer dazu einen Lehrertausch und die Schüler noch dazu ein Klassenverzeichnis (in denen auch die Lehrer reingucken dürfen und eigentlich auch reinschreiben drüfen sollten - was auch nicht geht). Dazu gibt es noch ein öffentliches Lehrer-Schüler-Tausch-Verzeichnis, in dem also jeder reinschreiben darf.
hier die setacl.sh:
#!/bin/sh
DIR="/skole/tjener"
GROUPS="teachers admins"
setfacl -Rb $DIR/
find $DIR/tausch/ -type d -exec chmod 2775 {} \;
find $DIR/tausch/ -type f -exec chmod 664 {} \;
find $DIR/homes/ -type d -exec chmod 2775 {} \;
find $DIR/homes/ -type f -exec chmod 664 {} \;
for X in $GROUPS ; do
setfacl -R -m g:$X:rwx $DIR/homes/students/
setfacl -R -m g:$X:rwx $DIR/homes/teachers/
setfacl -R -m g:$X:rwx $DIR/tausch/
done
Spiel mal mit einem Linux-Client das Szenario durch.
Ich hatte das Problem auch mal, lies sich aber lösen, indem ich den Benutzer gelöscht und ihn wieder neu angelegt habe. Das war witzig, weil das auch nur XP-Clients betraf.
Sonst wirf die User aus der Gruppe und probiers nochmal. Denn so wie es aussieht, gibt es ein Problem mit der Gruppenzugehörigkeit.
Ich hatte das Problem auch mal, lies sich aber lösen, indem ich den Benutzer gelöscht und ihn wieder neu angelegt habe. Das war witzig, weil das auch nur XP-Clients betraf.
Sonst wirf die User aus der Gruppe und probiers nochmal. Denn so wie es aussieht, gibt es ein Problem mit der Gruppenzugehörigkeit.
also:
nix geht!
die user müssen jedesmal ihr Dokument unter einem neuen Namen abspeichern...
mit setfacl einiges durchgespielt....es geht nicht....
auf jeden Fall ist es ein Problem zwischen Win-clients und Linux-server.
das wird mich noch einige Nächte kosten...
nix geht!
die user müssen jedesmal ihr Dokument unter einem neuen Namen abspeichern...
mit setfacl einiges durchgespielt....es geht nicht....
auf jeden Fall ist es ein Problem zwischen Win-clients und Linux-server.
das wird mich noch einige Nächte kosten...
Was du suchst nennt sich setgid und setuid
ist hier ganz gut erklärt.
http://de.wikipedia.org/wiki/Setgid
aber im home brauchst du das eh nicht, denn du wirst den inherit und acl schmarrn (aus dem home) am ende rausnehmen und wie wunder geht alles.
browseable = no
read only = no
create mask = 700
directory mask = 700
reicht in der regel für home aus
gruß
Frank
PS:
homes sollten eh auf 700 stehen. home != public
ist hier ganz gut erklärt.
http://de.wikipedia.org/wiki/Setgid
aber im home brauchst du das eh nicht, denn du wirst den inherit und acl schmarrn (aus dem home) am ende rausnehmen und wie wunder geht alles.
browseable = no
read only = no
create mask = 700
directory mask = 700
reicht in der regel für home aus
gruß
Frank
PS:
homes sollten eh auf 700 stehen. home != public
könnte es vielleicht an der setacl.sh liegen?
