Hallo zusammen,
ich habe für unser Netzwerk einen Samba 3 - Server als PDC mit ACL aufgesetzt, um über die Zuweisung von Benutzergruppen die Datei und Verzeichnisszugriffe steuern zu können.
Die Basis ist ein SLES 10 mit REISERFS. Die Partitionen liegen auf einem DRBD Volume und sind mit ACL´s gemountet.
Nun stellt sich folgendes Problem:
Ich habe die Benutzergruppe "Aufsteckerei". Füge ich vom Win2K Client aus über den Explorer die o.g. Domänen Gruppe in den Sicherheitseinstellungen ein, um ihr Zugriffsrechte zuzuweisen, dann wird die Gruppe beim Klick auf O.K. durch einen Maschinenaccount ersetzt (MASCHINE\qm$). Die Gruppe hat dann natürlich keinerlei Zugriffsrechte mehr auf das Verzeichnis.
Setze ich hingegen unter Linux die ACL´s mit setfacl, funktioniert es ohne Probleme. Der ACL-Eintrag für die Gruppe Aufsteckerei wird jedoch unter Windows nicht angezeigt, alle restlichen schon.
Alle Sambagruppen sind auf Unix-Gruppen gemappt.
Ich hoffe, es kann mir jemand nen Tipp geben, woran das liegen kann.
Zur Anschaung mal die Konfig mit einigen Shares, vielleicht hab ich ja nen eklatanten Fehler gemacht, der mir bisher nicht aufgefallen ist.
ich habe für unser Netzwerk einen Samba 3 - Server als PDC mit ACL aufgesetzt, um über die Zuweisung von Benutzergruppen die Datei und Verzeichnisszugriffe steuern zu können.
Die Basis ist ein SLES 10 mit REISERFS. Die Partitionen liegen auf einem DRBD Volume und sind mit ACL´s gemountet.
Nun stellt sich folgendes Problem:
Ich habe die Benutzergruppe "Aufsteckerei". Füge ich vom Win2K Client aus über den Explorer die o.g. Domänen Gruppe in den Sicherheitseinstellungen ein, um ihr Zugriffsrechte zuzuweisen, dann wird die Gruppe beim Klick auf O.K. durch einen Maschinenaccount ersetzt (MASCHINE\qm$). Die Gruppe hat dann natürlich keinerlei Zugriffsrechte mehr auf das Verzeichnis.
Setze ich hingegen unter Linux die ACL´s mit setfacl, funktioniert es ohne Probleme. Der ACL-Eintrag für die Gruppe Aufsteckerei wird jedoch unter Windows nicht angezeigt, alle restlichen schon.
Alle Sambagruppen sind auf Unix-Gruppen gemappt.
Ich hoffe, es kann mir jemand nen Tipp geben, woran das liegen kann.
Zur Anschaung mal die Konfig mit einigen Shares, vielleicht hab ich ja nen eklatanten Fehler gemacht, der mir bisher nicht aufgefallen ist.
Code:
[global]
add group script = /usr/sbin/groupadd "%g"
delete group script = /usr/sbin/groupdel "%g"
include = /etc/samba/dhcp.conf
add user to group script = /usr/sbin/groupmod -A "%u" "%g"
logon drive = P:
delete user from group script = /usr/sbin/groupmod -R "%u" "%g"
domain master = Yes
map to guest = Bad User
passdb backend = smbpasswd
logon home = \\%L\%U\.9xprofile
wins support = true
printcap cache time = 750
cups options = raw
netbios name = centauriprime
netbios aliases = enterprise
writeable = yes
printing = cups
unix password sync = yes
local master = Yes
workgroup = local.polycell
logon script = logon.bat
# %G.bat
logon path = \\%L\profiles\.msprofile
os level = 65
add user script = /usr/sbin/useradd "%u" -m
set primary group script = /usr/sbin/usermod -g "%g" "%u"
printcap name = cups
security = user
add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
usershare allow guests = Yes
delete user script = /usr/sbin/userdel "%u"
domain logons = Yes
[homes]
comment = Home Directories
valid users = %S, %D%w%S
browseable = No
read only = No
inherit acls = Yes
[profiles]
comment = Network Profiles Service
path = %H
read only = No
store dos attributes = Yes
create mask = 0600
directory mask = 0700
[users]
comment = All users
path = /home
read only = No
inherit acls = Yes
veto files = /aquota.user/groups/shares/
[groups]
comment = All groups
path = /home/groups
read only = No
inherit acls = Yes
[printers]
comment = All Printers
path = /var/tmp
printable = Yes
create mask = 0600
browseable = No
[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @ntadmin root
force group = ntadmin
create mask = 0664
directory mask = 0775
[netlogon]
comment = Network Logon Service
path = /var/lib/samba/netlogon
write list = root
browsable = yes
guest ok = yes
[averp]
writeable = yes
path = /files/AvERP/
inherit acls = Yes
[mailatt]
revalidate = yes
writeable = yes
path = /files/mailatt
write list = wunderer,administrator
inherit acls = Yes
[intranet]
valid users = wunderer,root
writeable = yes
path = /srv/www/htdocs/AvERP
write list = wunderer,root
inherit acls = Yes
[personal]
writeable = yes
path = /files/personal
inherit acls = Yes
[Allgemein]
writeable = yes
path = /files/Allgemein
inherit acls = Yes