• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Mehrere Freigaben unter einer nur für Admin Freigabe

Flieger

Newbie
Hallo zusammen,

ich habe volgendes Problem:

Ich habe auf einem Samba Server der einer Windows-NT-Domäne angehört eine Freigabe erstellt, die nur für die Domänen-Administratoren benutzbar ist damit diese auf alle darin enthaltenen Ordner auf einmal zugreifen können!
Die darin enthaltenen Ordner sind für die einzelnen Domänen Benutzer bestimmt und werden als "username"$ extra noch mal freigegeben!
Jetzt ist aber mein Problem das wenn mann sich als Domänen-User mit seiner $-Freigabe von einem Windows-Client verbinden will, die Fehler-Meldung "Der Netzwerkpfad \\Samba-server\freigabe$ wurde nicht gefunden." kommt!!!
Wenn ich in der smb.conf die Freigabe auf ein Verzeichnis lege was nicht in dem Ordner liegt von der Freigabe für die Domänen-Administratoren, funktioniert die Verbindung!!
Mir kommt es so vor als ob ich irgendwo einen Denkfehler bei der einstellung der Berrechtigungen von der übergeordneten Freigabe mach!
Ich poste mal die smb.conf:

Code:
# Global parameters
[global]
        workgroup = DOMG
        server string = FS6
        security = DOMAIN
        map to guest = Bad User
        username map = /etc/samba/smbusers
        unix password sync = Yes
        load printers = No
        show add printer wizard = No
        logon path = \\%L\profiles\.msprofile
        logon drive = P:
        logon home = \\%L\%U\.9xprofile
        preferred master = No
        local master = No
        domain master = No
        ldap suffix = dc=example,dc=com
        ldap ssl = no
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        admin users = @DOMG\Domänen-Admins
        printer admin = @ntadmin, root, @DOMG\Domänen-Admins
        create mask = 0770
        force create mode = 0770
        security mask = 00
        force security mode = 0770
        directory mask = 0770
        force directory mode = 0770
        directory security mask = 00
        force directory security mode = 0770
        map acl inherit = Yes
        dos filetimes = Yes

[user]
        path = /festplatte02/user
        valid users = @DOMG\Domänen-Admins
        read only = No
        create mask = 0744
        force create mode = 00
        security mask = 0777
        force security mode = 00
        directory mask = 0755
        force directory mode = 00
        directory security mask = 0777
        force directory security mode = 00

[scanner$]
        path = /festplatte02/user/scanner
        valid users = @DOMG\Domänen-Admins, DOMG\pc-scanner
        read only = No

Wie man in der config sieht gibt es eine Freigabe "user" wo nur die Domänen-Admins drauf zugrif haben.
Die Freigabe "scanner$" liegt unterhalb des Ordners "user" und soll nur von dem Benutzer "DOMG\pc-scanner" und den Admins zu benutzen sein! So wie die Freigabe "scanner$" muß ich dann noch ca. 50 weitere freigaben erzeugen nur jeweils für einen anderen Benutzer! Sie sind noch nicht angelegt da ich es an dieser Freigabe erst testen will!

Ich wäre euch dankbar wenn mir jemand erklären könnte was ich ändern muß damit es so wie ich es gerne hätte funktioniert!
Was mach ich Falsch?

Gruß Andreas
 

stka

Guru
Schau dir mal die Parameter:
browsable
hide unreadable
für Freigaben an. Das "$" Zeichen kannst du bei samba vergessen, das brauchst du nicht. Im Gegenteil, das kann dir nur Probleme machen.
 
OP
F

Flieger

Newbie
Hallo stka,

browseable steht auf "yes" und hide unreadable steht auf "no" !
Das mit dem $ am ende der Freigabe brauche ich aber! Durch dieses zeichen erreiche ich ich das es im Netzwerkbrowser unter Windows nicht zu sehen ist, ich die Freigabe aber unter der Computerverwaltung, wenn ich den Samba Server auswähle, sehe!
Außerdem glaube ich nicht das es daran liegen kann! Da wie schon erwähnt, wenn ich die Freigabe auf einen Ordner lege der nicht unter dem ordner und der Freigabe user liegt, es ja funktioniert!
Es muß irgendwas mit den vererbten Rechten zu tun haben die auf den Ordner "scanner" von der Freigabe "user" weiter gegeben wird!
Du wirst dich wahrscheinlich fragen warum ich es so lösen will.
Das ganze liegt darin, das ich bei mir in der Firma vor habe alle Daten von einem Windows-NT-Server auf den Samba Server zu übernehmen! Und bei Windows hat es so geklappt mit den Freigaben unter der Freigabe "user" die nur für die Domänen-Administratoren war!
Es muß doch möglich sein das auch unter Samba zu realisierne!

Gruß Flieger
 

stka

Guru
Solange "browsable" auf "yes" steht wird deine Freigabe immer sichtbar sein ;-) Du must "browsable" auf "no" stellen dadurch erzeugst du unter samba eine versteckte Freigabe.
Du kannst unter Samba Freigaben auf Grund der Berechtigung sichtbar machen, wenn du "hide unreadable" auf "yes" setzt, kann auch nur noch jemand den Ordner sehen wenn er mindestens das lese Rechte hat. Es gibt auch noch "hide unwriteable"
 
OP
F

Flieger

Newbie
Da muß ich dir leider wiedersprechen!
browsable steht auf yes aber man sieht durch das $ Zeichen die Freigabe im Netzwerk trotzdem nicht!!!!
Probier es aus! :wink:
Und nochmal, wenn die path angabe für die freigabe "scanner$" auf einen anderen Ordner zeigt der nicht unter dem ordner user liegt ( z.b. "path= /scanner"), kann sich der user "DOMG\pc-scanner" ja mit der Freigabe "scanner$" verbinden!
Und das ohne das ich etwas anderes ändere!!!!

Gruß Flieger
 

rolle

Guru
Es ist doch stka alles beantwortet. Hide unreadable = yes sorgt dafür, daß nur diejenigen, die einen Ordner auch lesen dürfen, diesen auch sehen. Ist es nicht das, was Du wolltest?
Die Sache mit dem Dollarzeichen geht schon auch so, aber es ist etwas unschön. Es ist eben die von Windows aus gedachte Lösung, die von stka ist die Sambaeigene.
 
OP
F

Flieger

Newbie
Hallo Roland,

es ist nicht ganz das was ich wollte!
Im grund genommen würde es so passen! Nur wollte ich eigentlich, einen Ordner Anlegen wo nur die Gruppe der Administratoren zugriffhaben und unter diesem Ordner dann Freigaben einrichten die nur von einem einzelnem User benutzt werden kann!
Das Problem ist aber wenn ich es so mache, kann ich bei den Freigaben einstellen was ich will, die User haben aber trotzdem keine Berechtigung auf ihre Freigabe zu zugreifen. Nur wenn sie auch in der gruppe der Administratoren sind haben sie zugrief!
Das Problem was ich habe liegt also nicht darin, irgendwelche Freigaben unsichtbar im Netzwerk zu machen, sondern darin das die User nicht auf ihre Freigaben zugreifen können obwohl sie die Berechtigung besitzen!!!!
Dabei ist es nämlich ziemlich egal ob ich sie jetzt als $-Freigaben erzeuge oder sie so wie ihr es vorgeschlagen habt nicht sichtbar mache! Selbst wenn die Freigaben die für die einzelnen User vorgesehen sind im Netzwerk sichtbar sind, haben die User keinen zugrief!!!

Das ist mein Problem!!!!!

Gar nicht so einfach es zu erklären, aber ich hoffe das du verstehst was ich meine!?

Gruß Andreas
 

rolle

Guru
Gut, Du willst also einen Überordner, auf den nur die Admins Zugriff haben, mit Unterordnern, auf die nur jeweils die Benutzerinnen Zugriff haben.
Das geht nur, wenn die Benutzerinnen zumindest den Adminordner lesen können! Die Unterordner kannst Du dann mit entsprechenden Rechten ausstatten und für alle Nichtberechtigten verstecken.
Wenn Du einen exklusiven Adminordner willst, mußt Du diesen eben als weiteres Unterverzeichnis anlegen.
 
OP
F

Flieger

Newbie
Hallo Roland,

das war doch mal eine Antwort wie ich sie fast hören wollte! :)
Also geht das so wie ich es vor hatte unter Samba nicht!!??
Unter Microsoft NT-Server hat es so halt funktioniert und ich wollte das gleiche eigentlich unter Samba auch umsetzen! Weil den usern lese rechte für den Admin Ordner wollte ich eigentlich nicht vergeben, dann sehen sie ja alle Ordner der anderen User!
Aber wenn es nicht geht, dann werd ich es lassen, und nur die einzelnen Ordner für die User freigeben! Wenn etwas sein sollte kann ich dann immer noch über die Konsole zugreifen!


Trotzdem Danke!!

Gruß Andreas
 

rolle

Guru
dann sehen sie ja alle Ordner der anderen User
Eben nicht, genau die Ordner kannst Du ja für Unberechtigte verstecken.
Alternativ kannst Du natürlich auch jeden einzelnen Unterordner per Samba freigeben und den Zugriff auf den Adminshare nur für Admins ermöglichen.
 
OP
F

Flieger

Newbie
Jetzt hast du es geschaft Roland, dass ich verwirt bin!
Eben nicht, genau die Ordner kannst Du ja für Unberechtigte verstecken.
Das ist mir jetzt klar, hatte es nur vorhin noch nich verarbeitet!
Aber,
Alternativ kannst Du natürlich auch jeden einzelnen Unterordner per Samba freigeben und den Zugriff auf den Adminshare nur für Admins ermöglichen.
Das versteh ich jetzt nicht! Dann würde es ja doch so funktionieren wie ich es mir gedacht habe! Oder versteh ich das jetzt auch falsch!
Vor hatte ich eigentlich den übergeordneten Ordner als Adminshare nu für Admins freizugeben, und die unter Ordner für die einzelnen user frei zugeben. So das die Admins unter dem Adminshare alle unterordner sehen und vollzugriff habe, die User aber ihre eigene Freigabe nur mounten können sie aber in der Netzwerkumgebung für alle anderen nicht zu sehen sind! Könntest du mal eine beispiel smb.conf nach meinem beispiel das ich oben gepostet habe, posten? Vieleicht versteh ich es dann besser!


Gruß Andreas
 

rolle

Guru
Also, im Prinzip spricht nichts dagagen, Unterverzeichnisse eines schon freigegebenen Verzeichnisses auch einzeln freizugeben. Es ist im Allgemeinen nur sehr aufwendig, für jede Nutzerin einen eigenen Share zu verwalten. Ich habe bei mir die Profileverzeichnisse wie folgt freigegeben, vielleicht hilfts ja.
[...]
logon path = \\sv00\profiles\%U
[...]
[profiles]
comment = network profiles service
path = /sambaserver/serverdaten/winprofile/
profile acls = Yes
browseable = No
[...]
Damit bekommt jede Nutzerin Ihr, automatisch angelegtes, Profilverzeichnis und die Admins können sich bei Bedarf das ganze Verzeichnis ansehen. Aber das ist eben der Sonderfall [profiles].
 
Oben