• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst]Samba 4: ACL Problem, Gruppe hat immer Execute Permission

spoensche

Moderator
Teammitglied
Hi @all,

ich habe hier ein kleines Problem mit den Zugriffsrechten und ACL's.

Szenario:

- Wenn von Win 7 aus eine Datei auf einem Share erstellt oder hin kopiert wird sollen weder für den User noch für die Gruppe Execute Permissions gesetzt sein, also nur lesen und schreiben.

Problem:
Beim Eigentümer der Datei funktioniert es wunderbar, nur die Gruppe behält ständig das Exec. Bit gesetzt.

Meine Config:
Code:
[global]
server role = standalone
obey pam restrictions = no
map to guest = bad user

[data]
path = /data/test
browseable = yes
read only = no
create mask = 0660
force create mode = 0660
directory mask = 775
inherit acls = yes
Meine CL's:
Code:
user::rwx
group::rwx
mask::rwx
other::---
default:user::rwx
default:group::rwx
default:mask::rwx
default:other::---

Wenn ich vom Win 7 aus eine Datei anlege, dann hat sie folgende Zugriffsrechte:
Code:
rw-rwx--

Beim Eigentümer funktioniert es also, nur bei der Gruppe nicht.

Weiss jemand warum das so ist?
 
Bei shares für windows verwendet samba diese execute bits für die Windows_Datei_Attribute.
Samba macht diese bit mappings für die bits: archive, system und hidden.
Dieses eine bit könnte das archive bit sein - oder ein anderes dieser erwähnten bits.
Möglicherweise hilft
map archive = no

Gruß
Gräfin Klara
 

stka

Guru
Die Frage ist erst mal warum übert diesen Weg die Rechte vergeben? Mach es doch so:
Code:
[global]
.
.
.
vfs objects = acl_xattr
store dos attributes = yes
inherit acls = yes

[admin-share]
path = /admin-share/
read only = no
administrativ share = yes
browsable = no

Für diesen Share setzt du die Rechte auf
rwxrwxr-x root 'domain admins'
Dann erstellst du UNTER WINDOWS! den Ordner für deinen Share, vergibst die Rechte auch wieder unter Windows! Dann erstellst du deinen Share für die Anwender.
Code:
[share]
path = /admin-share/share
read only = no
browsable = no

Danach braust du dir keine Gedanken mehr über das Setzen von Rechten unter Linux machen.
 
OP
S

spoensche

Moderator
Teammitglied
Hi Stefan,
stka schrieb:
Die Frage ist erst mal warum übert diesen Weg die Rechte vergeben?

Weil ich im Produktivbetrieb keinen Zugriff auf das Windows System habe, aber per Samba diverse Freigaben zur Verfügung stellen muss. Der Samba wird standalone betrieben. Was ich gerade mache, ist quasi der Testlauf.
Ich werde mal testen ob acl_xattr und store dos attributes die Lösung sind.

Ich bin für jede weitere Hilfe sehr dankbar.
 
OP
S

spoensche

Moderator
Teammitglied
Lösung gefunden.

Das SGID- Bit auf dem freigegebenen Verzeichnis setzen und dann haben neu angelegte Dateien die passenden Rechte.
 
Oben