Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Samba und die Unix CIFS-Extensions

Erfahrungsbericht Linux Samba

Mitglied: toddi65

toddi65 (Level 1) - Jetzt verbinden

10.03.2014, aktualisiert 13:31 Uhr, 6804 Aufrufe

Ich wollte mal was zu Samba loswerden, wovon vielleicht auch der eine oder andere Windows-Admin profitiert. Ich bin ebenfalls ein Solcher. Wir nutzen Samba seit Jahren auf Basis von Univention Corporater Server (http://www.univention.de/produkte/ucs/ucs-komponenten/dateidienste-und- ...), weil hier besonders einfach grafisch, webbasiert konfigurierbar. Dazu möchte ich zum Ende dieses Beitrages noch was sagen. UCS ist aber nicht Thema dieses Beitrages, sondern Samba (File-Services) an sich und zwar diesmal die Client-Seite. Hier habe ich mich selbst mit dem Verständnis grundlegender Zusammenhänge lange schwer getan unter anderem ein Grund, sich bei dem Setzen von Zugriffberechtigungen bei der grafischen Samba-Administration von Unvention Corporate Server zu bedienen. Trotzdem sollten auch Gelegenheits-Samba-Nutzer Folgendes wissen:

Wenn auf Server-Seite die cifs-Unix-Erweiterungen aktiv sind (was auf der Server-seitigen samba.conf durch den Eintrag unix extensions = yes gewährleistet ist und der Default-Einstellung entspricht), überträgt Samba die „echten“ Eigentums- und Zugriffsrechte zwischen Server und Client. Das hat weitreichende Folgen. Ändert z. B. ein Nutzer auf dem Client Rechte mit chmod oder chown oder mit Hilfe des Eigenschaften-Dialogs von Dolphin oder Nautilus, wirkt sich die Änderung unmittelbar auch auf den Server und indirekt auch auf allen weiteren Clients aus, die auf diese Freigabe zugreifen möchten. Das klappt natürlich nur, wenn der entsprechende Nutzer, der die Rechte einer Freigabe ändern will, in dieser auf dem Server überhaupt Schreibrechte hat. Diese UNIX-Erweiterungen haben immer Vorrang vor anderen Eigentums- und Zugriffsrechte, die eventuell beim Mounten in /etc/fstab des Clients oder beim manuellen Mounten auf dem Client per Parameter angegeben werden. Die werden dann nämlich ignoriert. Das Synchronisieren der Rechte erfolgt durch das Übertragen von uid, gid, dir_mode und file_mode, funktioniert aber nur dann korrekt, wenn die Benutzer auf dem Server und dem Client die gleiche Benutzerkennung (UID) und Gruppenkennung (GID) besitzen, was ggf. entsprechend angepasst werden muss. Einschränkungen kommen noch dazu, wenn auf dem Samba-Server kein Linux-Dateisystem, sondern NTFS oder gar FAT zum Einsatz käme, was ja immerhin möglich ist, weil der Linux-Server selbst ja solche Partitionen lesen/schreiben, bzw. mounten kann. Dann wird die Wirksamkeit der CIFS-UNIX-Erweiterungen natürlich durch da jeweilige Dateisysteme eingeschränkt. Allerdings sollte man von solchen kruden Konstruktionen ohnehin eher die Finger lassen. Jedenfalls ist es dann zunehmend schwieriger vorauszusgen, wie sich dann Samba verhält.

Unterstützt der Server die cifs-Unix-Erweiterungen nicht, weil er entweder ein Windows-Server ist oder weil in der Samba-Config auf dem Server unix extensions = no gesetzt ist, wozu es ebenfalls gute Gründe geben kann, müssen die Zugriffsrechte „simuliert“ werden. Verwendet man dann mount.cifs bekommt die Freigabe den Besitzer, der sie gemountet hat. Etwaige Schreibrechte werden dann auch auf diesen übertragen. Das geht, weil das Mounten an sich ja nur mit Root-Rechten oder über die /etc/fstab möglich ist. In der Regel hat man dann also Root-Schreibrechte. Diese lassen sich aber wieder durch ergänzende Angaben beim Mounten mit uid, gid, file_mode und dir_mode weiter einschränken, bzw. explizit festlegen.
Sind die Unix-Extensions auf dem Server aktiv, weil es sich z.B. um ein NAS-System handelt, zu dem man evtl. keinen Root-Zugang hat, aber man will sie nicht, kann man sie auch beim Mounten unterdrücken, bzw. das Ignorieren erzwingen. Das ist jetzt der exakt umgekehrte Fall, wie oben beschrieben. Dann bietet es sich an, die Mount-Option nounix zu benutzen. Damit werden die Unix-Extensions deaktiviert, sodass sie angegeben Optionen für uid, gid, file_mode usw. wieder wie gewünscht greifen. Übrigens bleiben mit nounix Eigentums- und Zugriffsrechte auch bei einem Backup unberücksichtigt, was manchmal gewünscht sein kann.

Apropos: Sind die Unix-Extensions aktiv sind, sollte man Gast-Zugriffe unbedingt vermeiden, weil dann der Zugriff auf neu angelegte Dateien und Ordner nicht mehr funktioniert, da diese dann nobody gehören. Ist das trotzdem passiert und man schaltet beim Mounten die Unix-Extensions mit nounix ab, kann man z. B. file_mode=0666 und dir_mode=0777 setzen, wodurch durch nobody angelegte Dateien und Ordner wieder lesbar sind.
Jetzt zurück zum Univention Corporate Server. An dem gefällt mir, dass man im umfangreichen grafischen Dialog bequem im Browser mit den Samba-Einstellungen experimentieren kann. Hauptgrund, UCS als Samba-Server einzusetzen ist für uns allerdings Samba 4. So ersetzt unser UCS einen betagten MS Server 2003, dessen Support ab nächsten Monat ausläuft, jetzt zuverlässig als Domänencontroller.
Ähnliche Inhalte
Netzwerkprotokolle
gelöst IPv6 - Privacy Extensions (2)

Frage von zomaryix zum Thema Netzwerkprotokolle ...

Visual Studio
gelöst C-Sharp WPF Controls und Extensions (3)

Frage von mayho33 zum Thema Visual Studio ...

Apache Server
gelöst Ubuntu Server - PHP lädt keine mysql extension (6)

Frage von harald.schmidt zum Thema Apache Server ...

Neue Wissensbeiträge
Windows Server

Umstellung SHA 1 auf SHA 2 - Migration der CA von CSP auf KSP

Tipp von Badger zum Thema Windows Server ...

Windows 10

Quato DTP94 unter Windows 10 x64 installieren und verwenden

Anleitung von anteNope zum Thema Windows 10 ...

Windows 10

Win10 1703 und Nutzerkennwörter bei Ersteinrichtung - erstaunliche Erkenntnis

(15)

Erfahrungsbericht von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
CNC Maschinen verlieren Netzwerkverbindung (kurioser Fehler) (22)

Frage von NoHopeNoFear zum Thema LAN, WAN, Wireless ...

Webentwicklung
Aktuellen Mitarbeiter auf Homepage anzeigen (13)

Frage von alemanne21 zum Thema Webentwicklung ...

Windows Server
gelöst Parameter Übergabe Terminal Server (9)

Frage von ThomasKern zum Thema Windows Server ...

Batch & Shell
Anfängerfragen - Powershell - Mailboxvertretung im Pulk einrichten (8)

Frage von Yoshimitsu zum Thema Batch & Shell ...