• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Login Skript gruppenbasiert ausführen

PP-checker

Member
Hallo,

ich habe einen Server mit 6 Usern, davon 1 Admin User und 1x Buchhaltung. Alle User sind in einer HauptGruppe und haben dadurch (Teil-) Rechte auf ALLEN Shares

Die Buchhaltung soll aber nur per Netlogon auf die Shares A, B, E, F angemeldet werden (alle anderen sollen per Skript auf die Shares A bis E verbunden werden). Der User buchhaltung ist in der Gruppe Buchhaltung und soll so per Skript in der Anmeldung über ein separates Anmeldeskript gesteuert werden (Standardgruppe allerdings wie bei den anderen).


Leider wird aber das Anmeldeskript bei dem buchhaltungsuser nicht ausgeführt. Habt ihr eine Idee?


in der SMB.conf steht zum Netlogon folgendes:

Code:
logon script = %g.bat
logon path = \\%L\profiles\.msprofile
logon home = \\%L\%U\.9xprofile
 
OP
PP-checker

PP-checker

Member
Samba ist PDC, die Samba DB für Passwörter genutzt.


Global section der smb.conf

Code:
[global]
        workgroup = Horst
        update encrypted = Yes
        map to guest = Bad User
        username map = /etc/samba/smbusers
        printcap cache time = 750
        printcap name = cups
        add machine script = /usr/sbin/useradd  -c Machine -d /var/lib/nobody -s /bin/false %m$
        logon script = %g.bat
        logon path = \\%L\profiles\.msprofile
        logon home = \\%L\%U\.9xprofile
        domain logons = Yes
        preferred master = Yes
        domain master = Yes
        wins support = Yes
        ldap ssl = no
        include = /etc/samba/dhcp.conf

Logs aus /var/log/samba/log.smbd

Code:
[2011/08/26 11:14:33, 1] smbd/service.c:make_connection_snum(642)
  buchhaltung (192.168.0.3) connect to service profiles initially as user buchhaltung (uid=1021, gid=1000) (pid 10686)
  
[2011/08/26 11:14:36, 1] smbd/service.c:make_connection_snum(642)
  buchhaltung (192.168.0.3) connect to service netlogon initially as user buchhaltung (uid=1021, gid=1000) (pid 10686)
  
[2011/08/26 11:14:38, 1] smbd/service.c:make_connection_snum(642)
  buchhaltung (192.168.0.3) connect to service buchhaltung initially as user buchhaltung (uid=0, gid=1000) (pid 10686)
  
[2011/08/26 11:14:47, 1] smbd/service.c:make_connection_snum(642)
  buchhaltung (192.168.0.3) connect to service A initially as user psql (uid=1006, gid=5000) (pid 10691)
  
[2011/08/26 11:14:47, 1] smbd/service.c:make_connection_snum(642)
  buchhaltung (192.168.0.3) connect to service B initially as user buchhaltung (uid=1021, gid=1000) (pid 10691)
  
[2011/08/26 11:14:48, 1] smbd/service.c:make_connection_snum(642)
  buchhaltung (192.168.0.3) connect to service C initially as user buchhaltung (uid=1021, gid=1000) (pid 10691)
  
[2011/08/26 11:14:49, 1] smbd/service.c:make_connection_snum(642)
  buchhaltung (192.168.0.3) connect to service D initially as user buchhaltung (uid=1021, gid=1000) (pid 10691)
    
[2011/08/26 11:14:49, 1] smbd/service.c:make_connection_snum(642)
  buchhaltung (192.168.0.3) connect to service F initially as user buchhaltung (uid=0, gid=1000) (pid 10691)

Demnach meldet er sich wie gesagt mit der falschen Gruppe an. (Das sind die Anmeldung an den Netzlaufwerken der andere Benutzergruppe)
 
OP
PP-checker

PP-checker

Member
Code:
[global]
        workgroup = ELEMENT
        update encrypted = Yes
        map to guest = Bad User
        username map = /etc/samba/smbusers
        printcap cache time = 750
        printcap name = cups
        add machine script = /usr/sbin/useradd  -c Machine -d /var/lib/nobody -s                                                                                                                      /bin/false %m$
        logon script = %g.bat
        logon path = \\%L\profiles\.msprofile
        logon home = \\%L\%U\.9xprofile
        domain logons = Yes
        preferred master = Yes
        domain master = Yes
        wins support = Yes
        ldap ssl = no
        printer admin = @ntadmin, root, administrator
        cups options = raw
        include = /etc/samba/dhcp.conf

[A]
        path = /shares/A
        valid users = @bereich2
        admin users = @bereich2
        read only = No
        create mask = 0770
        directory mask = 0770
        inherit acls = Yes
        guest ok = Yes

[B]
        path = /shares/B
        valid users = @bereich2
        read only = No
        create mask = 0770
        directory mask = 0770
        inherit acls = Yes

[C]
        comment = Data
        path = /C
        force user = sql
        read only = No
        create mask = 0777
        directory mask = 0777
        inherit acls = Yes
        guest ok = Yes

[D]
        comment = D
        path = /shares/D
        valid users = @bereich2
        admin users = @bereich2
        read list = @bereich2
        write list = @bereich2
        read only = No
        create mask = 0777
        directory mask = 0777
        inherit acls = Yes
        guest ok = Yes

[netlogon]
        comment = netlogon
        path = /shares/netlogon
        read list = @bereich2
        write list = root
        browseable = No

[profiles]
        comment = Network Profiles Service
        path = %H
        read only = No
        create mask = 0600
        directory mask = 0700

[E]
        comment = E
        path = /shares/E
        valid users = @bereich2
        read list = @bereich2
        write list = @bereich2
        read only = No
        create mask = 0770
        directory mask = 0770

[buchhaltung]
        path = /shares/buchhaltung
        valid users = @bereich2
        admin users = @bereich2
        read list = @bereich2
        write list = @bereich2
        read only = No
        create mask = 0770
        directory mask = 0770


[F]
        comment = F
        path = /shares/F
        valid users = @bereich2
        read list = @bereich2
        write list = @bereich2
        create mask = 0770
        directory mask = 0770
 

spoensche

Moderator
Teammitglied
Das Script für den User buchhaltung wird nicht ausgeführt, weil du in der smb.conf für das Logonscript für Gruppen verwendest. Es macht auch mehr Sinn, wenn der User buchhaltung auch die Gruppe Buchhaltung als Default- Gruppe hat.
 
OP
PP-checker

PP-checker

Member
OK, habe das im User Manager umgestellt, das mit den Logins funktioniert. Cool, danke!

Jetzt werden Dateien + Ordner von dem user Buchhaltung aber so angelegt, dass die Gruppe bereich2 nicht lesen/ändern etc. kann. Das muss noch mit force group / force create mode / force directory mode = @bereich2 ergänzt werden richtig?
 

spoensche

Moderator
Teammitglied
Hm, meines Verständnisses und Wissens her sollte, schon aus Datenschutzgründen, eigentlich nur die Buchaltung und der Chef Zugriff auf die jeweiligen Daten haben.

Directory mask bzw. directory mode kannst du keine Gruppe mit @gruppenname zuweisen.
Am einfachsten hast du es, wenn die Gruppe als Unix Gruppe (also als lokale Gruppe) existiert. Allerdings wirst du über kurz oder lang nicht um ACL´s und die Bitwise bzw oktale Rechtevergabe nicht herum kommern.
 
Oben