• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Samba LDAP und Rechteveerbung

C

chappert

Hacker
Hy,

erstmal weiß ich nicht so genau wo das Thema rein kommt weil irgendwie von allem was dabei ist (LDAP/PAM/Konsole usw.).

Was möchte ich erreichen?
Ich möchte mich mit LDAP Daten an meinem Server anmelden. -> Funktioniert
Auf dem Verzeichniss /var/www habe ich folgende Rechte www-data.dev 660 -> Ok nicht das Problem
Nun möchte ich erreichen das diese Rechte + Besitzer und Gruppe recrusiv vererbt werden.
Wenn also User xy eine Datei/Verzeichniss erstellt oder bearbeitet sollen die Daten die übergeordneten Rechte bekommen.

Ich hatte es schon mit dem Sticky bit versucht aber da wird ja nicht der Benutzer mit vererbt und irgendwie hatte ich damit auch seltsame Probleme.
z.B. folgende Rechte waren gesetzt www-data.de 2660 aber die User aus der Gruppe dev konnten nicht in das Verzeichniss wechseln erst mit 2770. Außerdem hatten
einige Daten auch ganz andere Rechte bekommen aber auch nicht immer.

Wie bekomme ich das mit der Vererbung der Rechte hin? Benutzer,Gruppe und 660!!!

Zur Info
-dev ist eine LDAP Gruppe
 
S

stka

Guru
Das Vererben von Rechten geht nur mit den ACLs. Das einzige Recht, dass du ohne ACLs "vererben" kannst, ist das SGID-Bit für Verzeichnisse. Das Sticky-Bit macht nur Sinn auf Verzeichnisse, dann kann nur noch der Besitzer eine Datei diese löschen. Ach wenn eine Gruppe alle Rechte am Verzeichnis hat.
 
OP
C

chappert

Hacker
Ist das evtl. mit samba zu lösen? dort kann man ja force rechte setzen bzw. force group, force user
Mir ist nur nicht klar wenn ich die Freigabe auf /var/www legen woher weiß samba dann wenn einer sich auf die Konsole
mit seinen ldap Daten anmeldet das er dann greifen muss.
 
OP
C

chappert

Hacker
ok ich hab mich auf folgender Seite schlau gemacht
http://www.knilse.de/download/acl.html

Ich will also für ein Verzeichniss /test/ folgende default Werte (Rechte) setzen rwxrwx--- www-data.dev
folgende code gebe ich dafür ein
Code: 
setfacl -m d:u:www-data:rwx,d:g:dev:rwx,o::-,d:m::rwx /test
als Meldung bekomme ich jedoch immer nur folgendes zurück
Code: 
setfacl: /test: Die Operation wird nicht unterstützt

In der fstab habe ich die acl Option gesetzt
Code: 
/dev/vserver/ag-devel1 /var/lib/vservers/ag-devel1 reiserfs {{acl}},defaults 0 2

den Vserver habe ich gestoppt sowie die Part. unmounted, danach wieder gemountet (auf dem Hostsystem) mit
Code: 
mount /dev/vserver/ag-devel1 /var/lib/vservers/ag-devel1

und den Vserver wieder gestartet


was mache ich falsch??
 
S

stka

Guru
Das muss so aussehen:
Code: 
setfacl -d -m u:www-data:rwx /test
Die Reihenfolge der Parameter ist hier sehr wichtig. also "-d -m" und nicht "-m -d"
 
OP
C

chappert

Hacker
führt aber nicht zum erfolg :(

wenn ich jetzt eine datei anlege gehört die immer noch mir und nicht www-data

so sieht mein verzeichniss aus
Code: 
drwxrwx---+   2 www-data dev   240 Feb  7 12:49 test

wenn ich getfacl auf das Verzeichniss /test mache kommt folgendes
Code: 
# file: test
# owner: www-data
# group: dev
user::rwx
group::rwx
other::---
default:user::rwx
default:user:www-data:rwx
default:group::rwx
default:group:dev:rwx
default:mask::rwx
default:other::---

Wenn ich jetzt mit einem LDAP Nutzer in diesem Verzeichniss eine Datei erstele kommt folgendes.
Code: 
-rw-rw----+ 1 ckeding busers 0  7. Feb 12:49 test8

Es werden nicht mal die default Rechte gesetzt.

Wie änder ich denn damit den standard Nutzer dem dann die neue Datei gehört?
Oder muss ich das für jeden User extra festlegen, was ja bei ldap seeehr umständlich wäre.
 
S

stka

Guru
Damit die Datei der Gruppe gehört, musst du am obersten Verzeichnis das SGID-Bit setzen mit "chmod g+s verzeichnis". Der Ersteller der Datei ist aber IMMER der Besitzer, das kannst du auch nicht ändern.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben