• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Zugriffrechte

NeoMan

Member
Hi Linuxfreunde,

ich habe ein kleines Problem mit Samba. Ich betreibe einen Samba-PDC und habe beispielsweise zwei verschiedene Gruppen. Zum einen die Gruppe buchhaltung und zum anderen die Gruppe vertrieb. Nun soll die Gruppe buchhaltung auf das Verzeichnis kosten und die Gruppe vertrieb auf das Verzeichnis lieferung zugriffen. Das funzt auch einwandfrei. Auf das andere Verzeichnis soll die jeweilige Gruppe nicht zugreifen können, auch das geht.

Nur wenn ich als Gruppe buchhaltung auf das Verzeichnis lieferung zugreife kommt eine fenster mit anmeldenamen und passwort. Dieses soll aber nicht erscheinen sondern es soll gleich kommen "Zugriff verweigert". Die Clients sind WinXP Prof und Win2000.

Wie bekomme ich also das Anmeldefenster weg und dafür das "Zugriff verweigert" Fenster hin???


MfG NeoMan
 

rolle

Guru
Da stimmt etwas Grundlegendes nicht. Wenn Du eine funktionierende Domäne hättest, käme für suber konfigurierte Freigaben keine Passwortabfrage. Das wäre alles schon mit der Anmeldung an der Domäne erledigt.
Poste mal Deine smb.conf. Und: funktionieren die Clients auch alle als echte Domänenmitglieder?
 
OP
N

NeoMan

Member
Die Clients sind alle vollwertige Domänenmitglieder. Ich versteh nur nicht warum das Anmeldefenster kommt wenn ich auf das "verbotene" Verzeichnis klicken im Windows Explorer. Kann ich das mit valid users bzw. invalid users erreichen, das "Zugriff verweigert" kommt?

Und was soll den Grundlegendes nicht stimmen?


MfG NeoMan
 

rolle

Guru
Also, das Tolle an einer Domäne ist Single-Sign-On, d.h. einmal anmelden und dann merkt sich das System die Daten. Wenn Du Passwortabfragen hast, wenn Du auf die 'verbotenen' Verzeichnisse gehst, dann hat also etwas nicht geklappt.
 
OP
N

NeoMan

Member
Das etwas nicht geklappt hat weiß ich schon, aber ich weiß nicht was nicht geklappt hat? Das wollte ich ja von euch wissen.


MfG NeoMan
 
OP
N

NeoMan

Member
Hier meine smb.conf

Code:
[global]
        domain logons = Yes
        workgroup = ZUHAUSE
        netbios name = CHEF
        encrypt passwords = yes
        update encrypted = yes
        os level = 65
        preferred master = yes
        local master = yes
        domain master = yes
        username map = /etc/samba/smbusers
        server string = Samba Server
        passdb backend = tdbsam

        logon path = \\%N\profile\%U
        logon drive = z:

        logon script = ntuser.bat

        load printers = yes
        printing = cups
        printcap name = cups
        printer admin = root

        wins support = yes
        name resolve order = wins lmhosts

        unix charset = ISO8859-1
        display charset = ISO8859-1
        dos charset = CP850

[homes]
        comment = %u's Home-Verzeichnis
        browseable = no
        read only = no
        only user = yes
        users = %U

[profiles]
        path = /profile
        read only = no
        browseable = no
        create mask = 0700

[kosten]
	path = /kosten
	read only = no
	browseable = yes
	valid users = @buchhaltung

[lieferung]
	path = /lieferung
        read only = no
        browseable = yes
        valid users = @vertrieb

Mit der Option invalid users habe ich es auch schon probiert, leider keinen Erfolg.

Noch andere Vorschläge? Oder stimmt mit meiner smb.conf etwas nicht???

MfG NeoMan
 

rolle

Guru
Als erste Idee: Mache doch einfach die Freigaben nicht browseable. Dann sieht sie niemand und es kann niemand versuchen, sich unberechtigt damit zu verbinden.
Oder die meines Erachtens saubere Lösung: Setze die rechte auf Linuxebene und vergiß die Sambarechte. Stichworte wären hier: chmod, chown, chgrp und ACL. Zusammen mit der Sambaoption 'inherit acls = yes' ergibt das ein sauberes Bild.
 
OP
N

NeoMan

Member
Erstmal vielen Dank für deine Antworten. Mit deinem zweiten Vorschlags deines letzten Postings scheint es nun zu funktionieren. Nun noch zwei Fragen.

1. Was bewirkt der Parameter inherit acl = yes. Ohne diesen kommt nämlich noch das nicht erwünschte Anmeldefenster.

2. Wie soll ich für nur bestimmte Benutzer eine bestimmte Freigabe sichtbar machen und für andere nicht? Geht das überhaupt?


MfG NeoMan
 

rolle

Guru
inherit acls = yes bewirkt, daß der Samba neu erstellten Daten dieselben rechte gibt, wie sie das übergeordnete Verzeichnis hat. Näheres kannst Du dem Samba-Howto entnehmen.
zu 2.: Du könntest z.B. per Netlogon für bestimmte Nutzerinnen definierte Netzlaufwerke verbinden. Auch hier gilt: Näheres zu Netlogon im Howto.
 
Oben