Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Samba und die Unix CIFS-Extensions

Erfahrungsbericht Linux Samba

Mitglied: toddi65

toddi65 (Level 1) - Jetzt verbinden

10.03.2014, aktualisiert 13:31 Uhr, 6961 Aufrufe

Ich wollte mal was zu Samba loswerden, wovon vielleicht auch der eine oder andere Windows-Admin profitiert. Ich bin ebenfalls ein Solcher. Wir nutzen Samba seit Jahren auf Basis von Univention Corporater Server (http://www.univention.de/produkte/ucs/ucs-komponenten/dateidienste-und- ...), weil hier besonders einfach grafisch, webbasiert konfigurierbar. Dazu möchte ich zum Ende dieses Beitrages noch was sagen. UCS ist aber nicht Thema dieses Beitrages, sondern Samba (File-Services) an sich und zwar diesmal die Client-Seite. Hier habe ich mich selbst mit dem Verständnis grundlegender Zusammenhänge lange schwer getan unter anderem ein Grund, sich bei dem Setzen von Zugriffberechtigungen bei der grafischen Samba-Administration von Unvention Corporate Server zu bedienen. Trotzdem sollten auch Gelegenheits-Samba-Nutzer Folgendes wissen:

Wenn auf Server-Seite die cifs-Unix-Erweiterungen aktiv sind (was auf der Server-seitigen samba.conf durch den Eintrag unix extensions = yes gewährleistet ist und der Default-Einstellung entspricht), überträgt Samba die „echten“ Eigentums- und Zugriffsrechte zwischen Server und Client. Das hat weitreichende Folgen. Ändert z. B. ein Nutzer auf dem Client Rechte mit chmod oder chown oder mit Hilfe des Eigenschaften-Dialogs von Dolphin oder Nautilus, wirkt sich die Änderung unmittelbar auch auf den Server und indirekt auch auf allen weiteren Clients aus, die auf diese Freigabe zugreifen möchten. Das klappt natürlich nur, wenn der entsprechende Nutzer, der die Rechte einer Freigabe ändern will, in dieser auf dem Server überhaupt Schreibrechte hat. Diese UNIX-Erweiterungen haben immer Vorrang vor anderen Eigentums- und Zugriffsrechte, die eventuell beim Mounten in /etc/fstab des Clients oder beim manuellen Mounten auf dem Client per Parameter angegeben werden. Die werden dann nämlich ignoriert. Das Synchronisieren der Rechte erfolgt durch das Übertragen von uid, gid, dir_mode und file_mode, funktioniert aber nur dann korrekt, wenn die Benutzer auf dem Server und dem Client die gleiche Benutzerkennung (UID) und Gruppenkennung (GID) besitzen, was ggf. entsprechend angepasst werden muss. Einschränkungen kommen noch dazu, wenn auf dem Samba-Server kein Linux-Dateisystem, sondern NTFS oder gar FAT zum Einsatz käme, was ja immerhin möglich ist, weil der Linux-Server selbst ja solche Partitionen lesen/schreiben, bzw. mounten kann. Dann wird die Wirksamkeit der CIFS-UNIX-Erweiterungen natürlich durch da jeweilige Dateisysteme eingeschränkt. Allerdings sollte man von solchen kruden Konstruktionen ohnehin eher die Finger lassen. Jedenfalls ist es dann zunehmend schwieriger vorauszusgen, wie sich dann Samba verhält.

Unterstützt der Server die cifs-Unix-Erweiterungen nicht, weil er entweder ein Windows-Server ist oder weil in der Samba-Config auf dem Server unix extensions = no gesetzt ist, wozu es ebenfalls gute Gründe geben kann, müssen die Zugriffsrechte „simuliert“ werden. Verwendet man dann mount.cifs bekommt die Freigabe den Besitzer, der sie gemountet hat. Etwaige Schreibrechte werden dann auch auf diesen übertragen. Das geht, weil das Mounten an sich ja nur mit Root-Rechten oder über die /etc/fstab möglich ist. In der Regel hat man dann also Root-Schreibrechte. Diese lassen sich aber wieder durch ergänzende Angaben beim Mounten mit uid, gid, file_mode und dir_mode weiter einschränken, bzw. explizit festlegen.
Sind die Unix-Extensions auf dem Server aktiv, weil es sich z.B. um ein NAS-System handelt, zu dem man evtl. keinen Root-Zugang hat, aber man will sie nicht, kann man sie auch beim Mounten unterdrücken, bzw. das Ignorieren erzwingen. Das ist jetzt der exakt umgekehrte Fall, wie oben beschrieben. Dann bietet es sich an, die Mount-Option nounix zu benutzen. Damit werden die Unix-Extensions deaktiviert, sodass sie angegeben Optionen für uid, gid, file_mode usw. wieder wie gewünscht greifen. Übrigens bleiben mit nounix Eigentums- und Zugriffsrechte auch bei einem Backup unberücksichtigt, was manchmal gewünscht sein kann.

Apropos: Sind die Unix-Extensions aktiv sind, sollte man Gast-Zugriffe unbedingt vermeiden, weil dann der Zugriff auf neu angelegte Dateien und Ordner nicht mehr funktioniert, da diese dann nobody gehören. Ist das trotzdem passiert und man schaltet beim Mounten die Unix-Extensions mit nounix ab, kann man z. B. file_mode=0666 und dir_mode=0777 setzen, wodurch durch nobody angelegte Dateien und Ordner wieder lesbar sind.
Jetzt zurück zum Univention Corporate Server. An dem gefällt mir, dass man im umfangreichen grafischen Dialog bequem im Browser mit den Samba-Einstellungen experimentieren kann. Hauptgrund, UCS als Samba-Server einzusetzen ist für uns allerdings Samba 4. So ersetzt unser UCS einen betagten MS Server 2003, dessen Support ab nächsten Monat ausläuft, jetzt zuverlässig als Domänencontroller.
Ähnliche Inhalte
PHP
Libsodium Extension als Alternative für entfernte Mcrypt Extension installieren (ab PHP 7.2)
Anleitung von FrankPHP1 Kommentar

Da die PHP Mcrypt Extension ab PHP 7.2 entfernt wird, suche ich schon einige Zeit lang eine gute und ...

PHP
PHP RFC: Mcrypt Extension wird ab PHP 7.2 entfernt
Information von FrankPHP

Ein RFC ist grob eine Abstimmung unter den PHP-Entwicklern, um neue, bestehende oder alte Feature hinzuzufügen, zu ändern, oder ...

Ubuntu
Ubuntu 14.04: Bug 1572608 mit Update auf Samba 4.3.8
Erfahrungsbericht von freekerUbuntu

Hallo, Ich wollte euch an dieser Stelle vor dem Update auf Samba 2:4.3.8+dfsg-0ubuntu0.14.04.2 warnen. Nach dem Update ist, je ...

Samba
Windows 98 und Samba 4.2 auf Raspberry Pi
Tipp von LochkartenstanzerSamba6 Kommentare

Hallo Kollegen, ich hatte doch neulich die Frage gestellt, ob Windows 98 mit Snology oder QNAP out-of-the-box geht. Ich ...

Neue Wissensbeiträge
MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 7 StundenMikroTik RouterOS4 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 7 StundenSicherheit

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Administrator.de Feedback

Entwicklertagebuch: Die Startseite wurde überarbeitet

Information von admtech vor 10 StundenAdministrator.de Feedback9 Kommentare

Hallo Administrator User, mit dem Release 5.7 haben wir unsere Startseite überarbeitet und die Beiträge und Fragen voneinander getrennt. ...

Vmware

VMware Desktopprodukte sind verwundbar

Information von Penny.Cilin vor 15 StundenVmware

Die VMware-Anwendungen zum Umgang mit virtuellen Maschinen Fusion, Horizon Client und Workstation sowie die Plattform NSX sind verwundbar. Davon ...

Heiß diskutierte Inhalte
Visual Studio
Vb.net-Tool zum Erzeugen einer Outlook-E-Mail
Frage von ahstaxVisual Studio24 Kommentare

Hallo, ich möchte gerne ein vb.net-Tool schreiben, das am Ende eine Outlook-E-Mail erzeugt. Grundsätzlich ist mir klar, wie das ...

Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server16 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows Netzwerk
Netzwerk Neustrukturierung
Frage von IT-DreamerWindows Netzwerk16 Kommentare

Hallo verehrte Community und Admins, bei uns im Haus steht eine Neustrukturierung an. Dafür benötige ich von euch ein ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...