Samba spielt keine Rolle?

Hallo,
ich bin ratlos, Samba spielt bei den ZUugriffen der WinXP-Clients uaf den OpenSuse 11.2-File-Server scheinbar keine Rolle. Untersagungen des Zugriffs in Samba scheinen folgenlos, Untersagungen in den Unix-Rechte wirken sich sofort aus. Woran kann das liegen?

Anbei meine smb.conf (gekuerzt um einige weitere Freigaben). Eingeschraenkt ist die Freigabe bigfilm/01-temporaer fuer den User thomas, der kann aber trotzdem zugreifen.

Die Unix-Rechte sind: Owner+Group view+modify, others forbidden. Owner root, group users.

# Samba config file created using SWAT
# from UNKNOWN (0.0.0.0)
# Date: 2010/01/23 07:51:17

[global]
logon drive = P:
domain master = Yes
map to guest = Bad User
passdb backend = smbpasswd
logon home = \\%L\%U\.9xprofile
cups options = raw
server string = BIGPC
logon path = \\%L\profiles\.msprofile
workgroup = MORISCHE.DE
os level = 65
debug level = 3
printcap name = cups
security = user
add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
usershare allow guests = No
domain logons = Yes
local master = Yes
preferred master = Yes
wins server =
wins support = No

[netlogon]
comment = Network Logon Service
path = /var/lib/samba/netlogon
write list = root

[homes]
comment = Home Directories
valid users = %S, %D%w%S
read only = No
inherit acls = Yes
browseable = No
browsable = No

[profiles]
comment = Network Profiles Service
path = %H
read only = No
create mask = 0600
directory mask = 0700
store dos attributes = Yes

[users]
comment = All users
path = /home
read only = No
inherit acls = Yes
veto files = /aquota.user/groups/shares/

[groups]
comment = All groups
path = /home/groups
read only = No
inherit acls = Yes

[printers]
comment = All Printers
path = /var/tmp
create mask = 0600
printable = Yes
browseable = No
browsable = No

[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @ntadmin, root
force group = ntadmin
create mask = 0664
directory mask = 0775

[bigfilm/01-temporaer]
writeable = yes
valid users = @DREAM
invalid users = thomas
path = /BIGFILM/01-TEMPORAER
write list = @DREAM
inherit acls = Yes


Thomas M.

Ist der user "thomas" Mitglied der Gruppe "DREAM"?

Ja, ist er. Ich habe gelesen, das invalid users zuerst ausgewertet wird. Deshalb glaube ich bisher, dass der user thomas nicht zugreifen kann.

Thomas M.

Dann passt es doch. Erst wird der Thomas auf invalide gesetzt, dann die Gruppe auf valid und da ist er Mitglied.
Ich arbeite immer nur mit den ACLs im Dateisystem, die Freigabeberechtigungen in der smb.conf verwende ich nie.

Danke erst mal. Da muss ich erst mal drauf rumdenken. Morgen abend werde ich mich noch mal melden. Schildere meine bisherigen Überlegungen und Schlußfolgerungen. Habe bestimmt noch einige Fragen, die ich in den Samba-Büchern und anderen Quellen so nicht beantwortet bekomme.

Thomas M.

Hallo stka,

der letzte Satz hat mich beeindruckt:
"Ich arbeite immer nur mit den ACLs im Dateisystem, die Freigabeberechtigungen in der smb.conf verwende ich nie."

An der Stelle war ich zuerst, wenn ich das richtig verstanden habe. Meint doch: Nur die Rechte unter UNIX zuzuweisen und in Samba keine Freigaben zu machen, oder?

Gibt es denn keine Nachteile? Ich hatte mir erst auch gedacht, die Zuweisungen dann ja nur in UNIX zu machen. Rechte kleben dann an der Datei, muss dafür die SMB.CONF nicht retten. Kann jederzeit direkt in UNIX ablesen.
Bin ich denn mit der UNIX-Lösung auch flexibel in den Einstellmöglichkeiten oder muss ich mich dann mit der Verzeichnisstruktur verbiegen damit es zum Schluß passt?
Unter UNIX kann ich doch nur eine Gruppe angeben. Muss ich dann mehrere Gruppen definieren, die nicht nur Teilmengen sind, die ich additiv einsetzen kann, sondern viele große Gruppen für jeden Zweck definieren, die dann alle benötigten Gruppenmitglieder umfassen? Wie geht so etwas praktisch?

Thomas M.

Die Berechtigungen in der smb.conf sind nur Filter für Rechte. Du kannst damit nur Rechte nehmen, nicht aber zusätzliche Rechte geben. Wenn du das ganze mit den ACL's machst, kannst du die Rechte sogar direkt über Windows verwalten.
Wenn du mit den default ACLs in Dateisystem arbeitest, hast du fast das verhalten wie du es von einem Windowsserver her kennst. Flexibler geht nicht ;-)

Die Rolle von Samba für die Rechte habe ich begriffen. Die Lösung mit den ACL's interessiert mich sehr. Kannst Du mir zu dieser Lösung noch ein paar Stichworte geben, so dass ich heute abend mal weiter probieren kann? Ein Hinweis auf eine Lesequelle (vielleicht auch zusätzlich) wäre nett. Per Suche nach ACL habe ich eben nicht so viel gefunden. Ich habe nur gesehen, dass CL bei der Einrichtung von Dateisystemen eine Rolle spielt.
Die Verwaltung von Windows aus klingt auch interessant.

Schau dir mal die man pages zu setfacl und getfacl an, da sind auch schöne Beispiele drin, die dir da schon weiterhelfen. Bei suse sollte in der /etc/fstab das Dateisystem auch schon die Option "acl" haben, damit du das nutzen kannst. Sehr gut ist auch das hier:
http://www.mpipks-dresden.mpg.de/~mueller/docs/suse10.0/suselinux-manual_de/manual/cha.acls.html

Ich habe mich ein bisschen umgesehen. In einem Linux-Handbuch habe ich die Aussage gefunden: "Das zentrale Problem ist bei den ACL's, dass die meisten Linux-Programme und -befehle die ACL's nicht richtig verstehen und/oder verarbeiten." Probleme soll es nicht nur mit Backup-Programmen wie rsync geben, sondern sogar mit dem Befehl cp. Rühmliche Ausnahme bei den Programmen sei z.B. der Konqueror.
Stimmt das? Soll ich dann doch lieber auf Samba setzen?
Kann hier jemand im Forum auf Erfahrungen mit ACL's bei Suse 11.2, der Verwendung von ext3/4 und der Nutzung der graphischen Oberfläche für ACL's per KDE 4.0 zurückgreifen?

Gerade Samba unterstützt die ACLs super. Wenn du backups vom Dateisystem machen willst/musst, dann kannst du mit getfacl die ACLs auch alles in eine Datei sichern und gegebenfals mit setfacl zurücksichern. Wenn du mit default ACLs arbeitest, dann funktioniert das auch mit "cp" denn dann werden ja die ACLs automatisch gesetzt. Am besten ist, du probierst das mal an zwei Verzeichnissen aus, dann kannst du am besten sehen, ob die ACLs das machen was du willst.

Vielen Dank noch mal für den Hinweis auf die ACL's. Ich arbeite jetzt damit. Allerdings mit den erweiterten. Sichern musste ich trotz Backup nicht. Versuche mit getfacl und auch star habe ich wieder eingestellt. Ich habe mir notiert, welche Pfade wie eingestellt sind. Bei rsync per root braucht man keine Angst um die gesetzten ACL's zu haben. Die Einstellungen mache ich über EICIEL als graphische Oberfläche.
Nun hätte ich gerne noch bei den Windows-Clients die Rechte angezeigt. Das habe ich bisher nicht hinbekommen. Ich hatte gelesen, das für die Karteikarte Sicherheit in den Windows-Eigenschaften der Samba-Parameter NT ACL SUPPORT auf yes stehen muss. Habe ich, geht aber trotzdem nicht. Weiß jemand was man tun muss?