linux berechtigungsfrage
 

mir ist da gestern bei den linux berechtigungen etwas untergekommen, das ich nicht verstehe.
es geht um dieses verzeichnis:

drwxrwx--- 8 mim pers 4096 Jan 7 10:30 Personal

die gruppe "pers" besteht aus den usern "mim" und "cw" (primäre gruppe" bautech")
ursprünglich war der besitzer des ordners personal "root" und die gruppe "bautech"
ich sollte den zugriff auf das verzeichnis nur für die gruppe "pers" erlauben
aber ein "#chmod -R pers Personal" brachte in samba immer die meldung "zugriff verweigert"
erst als ich den besitzer auf "mim" änderte und die unterverzeichnisse + dateien auf die gruppe "bautech" funktionierte es.


warum?

gruss
jorge

...ich hab natürlich "chgrp -R pers Personal" eingegeben!

gruss
jorge

Re: linux berechtigungsfrage
 

Hallo!

Hast du nicht vielmehr chown gemeint?




Ciao,

Steve

nein...
chgrp -R pers Personal

ich wollte nur die berechtigte gruppe ändern:
von
drwxrwx--- 8 root bautech 4096 Jan 7 10:30 Personal
in
drwxrwx--- 8 root pers 4096 Jan 7 10:30 Personal

und das auch in unterverzeichnissen.
dann müssten doch die mitglieder der gruppe pers vollzugriff haben?

gruss
jorge

nur wenn das "rwx" auch auf die Files unter dem Ordner zutrifft ;)

Und wie schauen die Berechtigungen in der smb.conf aus?

manche files sind auf rw gesetzt, die verzeichnisse alle auf rwx

smb.conf:
[AllgBT]
comment = Bautechnik Verzeichnis
path = /srv/bautechnik
valid users = +bautech
read only = No
create mask = 0770
directory mask = 0770
browseable = No

also....

ich hab grade mit meinem "linux-guru" telefoniert:
er meinte dass die normalen linux-berechtigungskonzepte unterhalb von samba-freigaben nicht greifen, da samba immer mit der primären gruppe rechnet! :heul:

kann mir das jemand bestätigen?????
ich habs ihm (obwohl er der absolute linux/unix guru ist ;) ) nicht ganz glauben können.

gruss
jorge

WO SIND DIE ROOTS?????????
:(

Na wenn die "ValidUsers" in der smb.conf die "bautech" sind, müssen diese auch die Rechte im Filesystem haben (deswegen wollte ich die smb.conf sehen).

Was anderes könntest nur mit ACLs und so bauen, aber da wird mühsam.

Dein Guru hat schon recht.

...also greifen reine gruppenmitgliedschaften in samba nicht?

mit anderen worten:
für jedes verzeichnis, das besondere rechte hat muss ich ein eigenes share einrichten (und ein separates laufwerk verbinden!)?

...dann muss ich mir aber schon überlegen wieder auf windows umzusteigen, denn das sind IMHO schon grundlegende funktionen die ein fileserver beherrschen sollte.

...kann linux somit wirklich ein brauchbarer ersatz für windows sein?????

gruss
jorge

In der smb.conf sind die berechtigten User die Gruppe "bautech", aber auf dem Filesystem haben sie keine Rechte??? Kannst Du mir den Sinn dahinter nochmals erklären, da komm ich nicht mit.

Ansonsten:
ja
ja
nein
ja

Meiner Erfahrung läuft organisatorisch was falsch, wenn die Berechtigungsschema komplexer werden, alls man sie mit Samba einfach aqbbilden kann.

Meine 2 Euro-Cent. ;)

...

drwxrwx--- 8 mim pers 4096 Jan 8 10:17 Personal
drwxrwx--- 9 jme bautech 4096 Dec 3 16:16 Polen 2002
drwxrwx--- 2 mim contr 4096 Jan 8 10:45 Rechnungswesen_Controlling
drwxrwx--- 2 jme bautech 4096 Dec 30 18:29 Termine
drwxrwx--- 7 jme bautech 4096 Oct 7 08:25 UEZ Zeichen
drwxrwx--- 13 ms bautech 4096 Jan 8 09:38 Vertrieb
drwxrwx--- 8 mim bautech 4096 Jan 7 17:09 Vorlagen
drwxrwx--- 4 jme bautech 4096 Jan 7 13:23 Zeiterfassung

...

ursprünglich hatten auf diese freigabe alle benutzer der gruppe bautech zugriff.
dann kamen sie drauf dass sie einzelne verzeichnisse (Personal,..) nicht für alle freigeben wollten.

meines erachtens sollte das mit linux-berechtigungen auch kein problem sein.

nach diesen erkenntnissen steh ich nun etwas auf der seife....

was meinst du damit?
es ist nun mal so:
dateisysteme wachsen, firmen verändern sich, das kann man nicht alles restlos planen.

jorge

...weiter getestet:

komischerweise funktioniert es so:

drwxrwx--- 2 root pers 4096 Jan 9 10:59 test

- dies ist ein unterverz. vom share allgbt
- die benutzer die zur (sekundären) gruppe pers haben zugriff
- die anderen haben keinen zugriff!
- alle benutzer die auf dieses share zugreifen haben als primäre gruppe bautech
- samba-seitig haben nur die benutzer der gruppe bautech zugriff auf dieses share
- der einzige unterschied: das verz. war von anfang an leer und wurde von root erstellt!

ich habe noch so ein verz. und da funktionierte es von anfang an ohne weiters. nur wenn ich die berechtigungen bei einem bestehenden ändern sollte, traten probleme auf.

@_M3: wie erklärst du dir das????


jorge

ja ??????? ;)
Hab grad kein Samba zum Spielen bei der Hand.
Aber: Was passiert, wenn Du nun in dem ordner "test" via Samba ein File anlegst. Sehen das dann nur die Personen in "pers" oder auch die in "bautech"?


ad "es ist nun mal so":
Dann sollte man ein Redesign der shares machen.

Wenn die Personalabteilung "geheime" Dokumente hat, dann soll sie diese in einen eigenen Share stecken, ist doch wesentlich logischer, als in einem Unterordner im allgemeinen Share, oder?

...die files + ordner die neu angelegt werden gehören zwar der gruppe bautech aber kein anderer kommt über die hürde des 1. ordners, der nur für die gruppe pers zugänglich ist (zugriff verweigert!).

personalabteilung???
--> das sind der geschäftsführer und die sekretärin ;)
...aber du hast im prinzip schon recht, ich will nur eine flut von netzlaufwerken vermeiden; ist vielleicht ne grundsatzfrage.


jorge

Hallo!

Disclaimer: Ich brauche kein Samba da ich nur GNU/Linux verwende und bin daher kein Kenner dieser Software.

Bug in Samba? Software ist nicht fehlerfrei. Hast du schon auf der entsprechenden Homepage nachgeschaut, vielleicht steht was in der FAQ, in einem Forum, einer Mailingliste.......

Und wenn nicht, was hindert dich daran den Fehler (nach einigen weiteren Tests zu Verifikation) zu melden?

Welche Sambaversion, vielleicht in einer neueren schon gefixt?


Ciao,

Steve

@Lotussteve: Das ist AFAIK br0ken as designed ;)

Uns was machst, wenn wer in "pers" ist, aber nicht in "bautech"? ;)

Hehe. :D

Jup. Aber ich habe auch unter NT/2000 die Erfahrung gemacht, dass x Shares mehr leichter zu warten (Benutzerberechtigungen, ..) sind, als wenn man auf die Unterverzeichnisse in den shares nochmals andere Rechte vergibt.
Aber das ist mein persönlicher Erfahrungswert.

dem stimme ich mittlerweile zu, auch wenns unübersichtlich ausschaut, das kann an aber durch logonscripts lösen ;)

_M3:
...das war die idee:
- alle benutzer sind in bautech
- wenn ein ordner gesperrt werden soll gibts ne neue gruppe und die berechtigen sind mitglieder derselben, die zugang zum ordner hat.

jorge

...das dürfte wohl mein wirkliches problem gewesen sein:
jorge