Unentbehrliches Netzwerk-Know-how (tecCHANNEL COMPACT)

Zugriffskontrolle bei Samba und *nix - Teil 2

Veröffentlicht: 06. Okt 2006
Von JOHN TERPSTRA und JELMER VERNOOIJ

In vielen Netzen findet sich eine bunte Mischung aus Windows und verschiedenen Unix- und Linux-Derivaten als Server und Client. Dennoch sollen alle Server von möglichst allen Arbeitsstationen aus erreichbar sein. Zum Glück gibt es mit dem Samba-Projekt eine Möglichkeit, Windows-Clients mit Linux-Servern zu verbinden. Welche Stolperfallen es dabei zu vermeiden gilt, zeigt unsere zweiteilige Artikelserie.

*
Auf dieser Seite
Zugriffskontrollen auf FreigabenZugriffskontrollen auf Freigaben
Verwaltung von FreigabeberechtigungenVerwaltung von Freigabeberechtigungen
Windows NT4 Workstation/ServerWindows NT4 Workstation/Server
Windows XPWindows XP
MS Windows-Zugriffskontroll-Listen (ACLs) und UNIX-WechselwirkungenMS Windows-Zugriffskontroll-Listen (ACLs) und UNIX-Wechselwirkungen
Anzeigen von Dateisicherheit auf einer Samba-FreigabeAnzeigen von Dateisicherheit auf einer Samba-Freigabe
Anzeigen von DateieigentümernAnzeigen von Dateieigentümern
Das Anzeigen von Datei- oder VerzeichnisberechtigungenDas Anzeigen von Datei- oder Verzeichnisberechtigungen
DateiberechtigungenDateiberechtigungen
Verzeichnis-BerechtigungenVerzeichnis-Berechtigungen
Ändern von Datei- oder Verzeichnis-BerechtigungenÄndern von Datei- oder Verzeichnis-Berechtigungen
Die Wechselwirkung mit den Samba-Standard-Parametern create maskDie Wechselwirkung mit den Samba-Standard-Parametern create mask
Die Wechselwirkung mit den Standard-Samba-Dateiattribut-VergabenDie Wechselwirkung mit den Standard-Samba-Dateiattribut-Vergaben
Gängige FehlerGängige Fehler
Benutzer können nicht auf eine öffentliche Freigabe schreibenBenutzer können nicht auf eine öffentliche Freigabe schreiben
Dateioperationen, die als root mit force user ausgeführt wurdenDateioperationen, die als root mit force user ausgeführt wurden
MS Word mit Samba ändert den Eigentümer einer DateiMS Word mit Samba ändert den Eigentümer einer Datei

Zugriffskontrollen auf Freigaben

Dieses Kapitel handelt davon, wie Samba für Zugriffskontroll-Einschränkungen bei Freigaben konfiguriert werden kann. Standardmäßig setzt Samba keine Einschränkungen auf die Freigabe selbst. Einschränkungen auf der Freigabe selbst können auf MS Windows NT4/200x/XP-Freigaben gesetzt werden. Dies kann ein effektives Verfahren sein, um zu regeln, wer sich mit einer Freigabe verbinden darf. In Ermangelung spezifischer Einschränkungen sieht die Standardeinstellung vor, dem globalen Benutzer Jeder - Volle Kontrolle (volle Kontrolle, Ändern und Lesen) zu erlauben.

Zurzeit stellt Samba kein Werkzeug zum Konfigurieren von Zugriffskontroll-Einstellungen auf einer Freigabe selbst zur Verfügung. Samba hat die Fähigkeit, Zugriffskontroll-Einstellungen zu speichern und damit zu arbeiten, aber der einzige Weg, diese Einstellungen zu erzeugen, ist der NT4 Server Manager oder die Windows 200x MMC für Computer-Verwaltung.

Samba speichert die Zugriffskontroll-Einstellungen pro Freigabe in einer Datei namens share_info.tdb. Der Ablageort dieser Datei auf Ihrem System hängt davon ab, wie Sie Samba kompiliert haben. Der Standard-Ablageort für Sambas tdb-Dateien ist /usr/local/samba/var. Falls das tdbdump-Werkzeug auf Ihrem System kompiliert und installiert worden ist, können Sie den Inhalt dieser Datei wie folgt ausführen: tdbdump share_info.tdb, in dem Verzeichnis, das die tdb-Dateien enthält.

Verwaltung von Freigabeberechtigungen

Das beste Werkzeug für eine Aufgabe ist plattformabhängig. Wählen Sie das beste Werkzeug für Ihre Umgebung.

Windows NT4 Workstation/Server

Das Werkzeug, das Sie zum Verwalten von Freigabeberechtigungen auf einem Samba-Server nutzen müssen, ist der NT Server Manager. Der Server Manager wird mit den Windows NT4 Server-Produkten, aber nicht mit Windows NT4 Workstation ausgeliefert. Sie können den NT Server Manager für MS Windows NT4 Workstation von Microsoft erhalten (Details weiter unten).

1.

Starten Sie den NT4 Server Manager, und klicken Sie auf den Samba-Server, den Sie administrieren möchten. In dem Menü wählen Sie Computer, dann klicken Sie auf Freigegebene Verzeichnisse.

2.

Klicken Sie auf die Freigabe, die Sie verwalten möchten, dann gehen Sie auf Eigenschaften und klicken auf die Registerkarte Berechtigungen. Jetzt können Sie Zugriffskontroll-Einstellungen nach Belieben hinzufügen und ändern.

Windows XP

Auf MS Windows NT4/XP werden Systemzugriffskontroll-Listen für Freigaben mit eigenen Werkzeugen gesetzt, meist durch den Dateimanager. In Windows XP beispielsweise rechtsklicken Sie auf den Freigabeordner, wählen Freigabe und klicken dann auf Berechtigungen. Die Standardberechtigung unter Windows NT4/XP erlaubt „jedem“ volle Kontrolle über die Freigabe.

MS Windows XP und spätere Versionen enthalten ein Werkzeug namens Computerverwaltungs-Snap-In für die Microsoft Management Konsole (MMC). Dieses Werkzeug befindet sich in der Systemsteuerung -> Verwaltung -> Computerverwaltung.

1.

Nachdem Sie die MMC über das Computerverwaltungs-Snap-In gestartet haben, klicken Sie auf den Menüeintrag Action und wählen dann Mit einem anderen Computer verbinden. Falls Sie nicht an einer Domäne angemeldet sind, werden Sie aufgefordert, einen Domänenbenutzer und ein Passwort einzugeben. Dies wird Sie gegenüber der Domäne authentifizieren. Falls Sie bereits als ein Benutzer mit Administrationsrechten angemeldet sind, wird dieser Schritt nicht angeboten.

2.

Falls der Samba-Server nicht in der Box Computer auswählen angezeigt wird, geben Sie den Namen des Samba-Zielservers im Feld Name: ein. Klicken Sie jetzt auf den Button [+] neben Systemwerkzeuge, dann auf den Button [+] neben Freigabeordner im linken Bereich.

3.

Im rechten Bereich doppelklicken Sie auf die Freigabe, auf die Sie Zugriffskontroll-Berechtigungen vergeben möchten. Dann klicken Sie auf die RegisterkarteFreigabe-Berechtigungen. Jetzt ist es möglich, Zugriffskontroll-Einheiten zu dem Freigabe-Ordner hinzuzufügen. Merken Sie sich, welchen Zugriffstyp (volle Kontrolle, ändern, lesen) Sie für jeden Eintrag vergeben möchten.

Seien Sie vorsichtig: Falls Sie alle Berechtigungen von dem „Jeder“-Benutzer wegnehmen, ohne diesen Benutzer entfernt zu haben, wird anschließend kein Benutzer mehr in der Lage sein, auf die Freigabe zuzugreifen. Dies ist ein Ergebnis dessen, was als ACL-Präzedenz bekannt ist. „Jeder“ mit dem Eintrag kein Zugriff heißt, dass „MaryK“, die Teil der Gruppe „Jeder“ ist, keinen Zugriff hat, obwohl ihr explizit volle Zugriffsrechte gegeben wurden.

MS Windows-Zugriffskontroll-Listen (ACLs) und UNIX-Wechselwirkungen

Verwalten von UNIX-Berechtigungen durch NT-Sicherheitsdialoge

Windows NT-Clients können ihre eigene Dialogbox für Sicherheitseinstellungen verwenden, um UNIX-Berechtigungen anzuzeigen und zu ändern.

Diese Fähigkeit ist so umsichtig, dass die Sicherheit des UNIX-Hosts, auf dem Samba läuft, nicht gefährdet wird und dennoch alle Dateiberechtigungsregeln, die ein Samba-Administrator setzt, beachtet werden.

Samba versucht nicht, die POSIX-ACLs zu übertreffen, so dass die vielen feiner abgestimmten Zugriffskontroll-Optionen, die Windows zur Verfügung stellt, einfach ignoriert werden.

Hinweis: Alle Zugriffe auf UNIX/Linux-Systemdateien durch Samba werden durch die Betriebssystem-Dateizugriffskontrollen kontrolliert. Bei der Fehlersuche nach Dateizugriffsproblemen ist es enorm wichtig, die Identität des Windows-Benutzers herauszufinden, wie sie von Samba an dieser Stelle des Dateizugriffs gesehen wird. Diese lässt sich am besten durch die Samba-Protokolldateien ermitteln.

Anzeigen von Dateisicherheit auf einer Samba-Freigabe

Von einem NT4/2000/XP-Client aus rechtsklicken Sie auf jede Datei oder Verzeichnis in einem Samba-gemounteten Laufwerksbuchstaben oder UNC-Pfad. Wenn das Menü aufgeht, klicken Sie auf den Eintrag Eigenschaften am Fuß des Menüs. Dies startet die Dialogbox Eigenschaften. Klicken Sie auf die Registerkarte Sicherheit, Erweitert und Sie werden drei Panels sehen: Berechtigungen, Überwachung und Besitzer. Der Button Überwachung wird entweder eine Fehlermeldung „A requested privilege is not held by the client“ verursachen, falls der Benutzer kein NT-Administrator ist, oder einen Dialog erscheinen lassen, mit dem ein Administrator Überwachungsgrundlagen einer Datei hinzufügen kann, wenn der Benutzer als NT-Administrator angemeldet ist. Dieser Dialog funktioniert derzeit nicht mit einer Samba-Freigabe, da der einzige Button, der Hinzufügen-Button, es derzeit nicht zulässt, eine Benutzerliste anzuzeigen.

Anzeigen von Dateieigentümern

Wenn Sie auf den Button Eigentümer klicken, erscheint eine Dialogbox, die Ihnen zeigt, wem die betreffende Datei gehört. Der Name des Eigentümers wird wie folgt angezeigt:

SERVER\Benutzer (Langer Name)

SERVER ist der NetBIOS-Name des Samba-Servers, Benutzer der Name des UNIX-Benutzers, dem die Datei gehört, und (Langer Name) ist die Beschreibung, die den Benutzer ausweist (normalerweise wird dies im GECOS-Feld der UNIX-Passwortdatenbank gefunden). Klicken Sie auf den Button Abbrechen, um diesen Dialog zu entfernen.

Falls der Parameter nt acl support auf false gesetzt ist, wird der Dateieigentümer als NT-Benutzer „Jeder“ angezeigt. Mit dem Übernehmen-Button können Sie nicht die Eigentumsrechte an dieser Datei auf sich selbst setzen (ein Anklicken zeigt eine Dialogbox, die angibt, dass der Benutzer, als der Sie gerade auf dem NT-Client angemeldet sind, nicht gefunden werden kann). Der Grund hierfür ist, dass das Ändern der Eigentumsrechte auf eine Datei eine privilegierte Operation in UNIX ist, die ausschließlich dem Benutzer root obliegt. Indem Sie auf diesen Button klicken, veranlassen Sie NT dazu, die Eigentumsrechte einer Datei auf den am NT-Client gegenwärtig angemeldeten Benutzer zu übertragen; dies funktioniert jedoch zu diesem Zeitpunkt mit Samba nicht.

Es gibt ein NT-Kommando, chown, das mit Samba funktioniert und es einem Benutzer, der mit Administratorprivilegien an einen Samba-Server als root angeschlossen ist, erlaubt, die Eigentumsrechte von Dateien sowohl auf lokaler NTFS-Dateisystemebene als auch auf entfernt gemounteten NTFS- oder Samba-Laufwerken zu setzen. Dies ist verfügbar als Teil der von Jeremy Allison vom Samba-Team geschriebenen Seclib-NT-Sicherheitsbibliothek, und Sie können es von der FTP-Hauptseite von Samba abrufen.

Das Anzeigen von Datei- oder Verzeichnisberechtigungen

Der dritte Button ist die Schaltfläche Berechtigungen. Wenn Sie sie anklicken, öffnet sich eine Dialogbox, die sowohl die Berechtigungen als auch den UNIX-Besitzer für die Datei und das Verzeichnis anzeigen. Der Eigentümer wird wie folgt angezeigt:

SERVER\Benutzer (Langer Name)

SERVER ist der NetBIOS-Name des Samba-Servers, Benutzer ist der Name des UNIX-Benutzers, dem die Datei gehört, und (Langer Name) ist die Beschreibung, die den Benutzer ausweist (normalerweise wird dies im GECOS-Feld der UNIX-Passwortdatenbank gefunden). Falls der Parameter nt acl support auf false gesetzt ist, wird der Dateieigentümer als NT-Benutzer „Jeder“ angezeigt. Das Berechtigungsfeld wird bei Dateien und Verzeichnissen anders dargestellt, also werde ich die Art, wie Dateiberechtigungen angezeigt werden, zuerst beschreiben.

Dateiberechtigungen

Die Standard-UNIX-Drillinge Benutzer/Gruppe/Welt und die korrespondierenden Berechtigungen lesen, schreiben, ausführen werden von Samba in ein aus drei Elementen bestehendes NT-ACL mit den Bits r, w und x von Samba in ein aus drei Elementen bestehendes NT-ACL gemappt, wobei die Bits r, w und x auf passende NT-Berechtigungen gemappt werden. Die UNIX-Welt-Berechtigungen werden in die globale NT-Gruppe „Jeder“ gemappt, gefolgt von der Berechtigungsliste, die unter UNIX für Welt gilt. Die UNIX Eigentümer- und Gruppenberechtigungen werden als ein NT-Benutzer-Symbol und ein NT-Symbol lokale Gruppe angezeigt, beziehungsweise durch die nachfolgende Berechtigungsliste für den UNIX-Benutzer und die UNIX-Gruppe.

Dadurch, dass viele UNIX-Berechtigungssätze nicht auf allgemeine NT-Namen wie lesen, ändern oder volle Kontrolle passen, werden gemeinhin die Berechtigungen durch Wörter wie Spezieller Zugriff in der NT-Anzeigeliste angeführt.

Doch was passiert, wenn die Datei keine Berechtigungen für eine bestimmte UNIX-Benutzergruppe oder Welt-Komponente erlaubt? Um es zu ermöglichen, keine Berechtigungen zu sehen und zu ändern, übergibt Samba das NT-ACL-Attribut Eigentum übernehmen (das keine Bedeutung für UNIX hat) und meldet eine Komponente ohne Berechtigung, wie wenn das NT-Bit O gesetzt wäre. Dies wurde natürlich deshalb gewählt, um es wie eine Null aussehen zu lassen, was bedeutet: Keine (Null) Berechtigungen.

Verzeichnis-Berechtigungen

Verzeichnisse auf einem NTFS-Dateisystem haben zwei verschiedene Berechtigungssätze. Der erste Satz ist die ACL, die auf das Verzeichnis selbst gesetzt ist. Sie wird normalerweise im ersten Satz der Klammern im normalen NT-Stil RW angezeigt. Dieser erste Satz an Berechtigungen wird durch Samba in exakt derselben Art und Weise erzeugt, wie es normale Dateiberechtigungen werden, und wird auch auf dieselbe Art und Weise angezeigt.

Der zweite Satz von Verzeichnis-Berechtigungen hat keine echte Bedeutung in der UNIX-Berechtigungs-Welt und repräsentiert die vererbten Berechtigungen, die jede Datei erben würde, die in diesem Verzeichnis erzeugt wird. Samba vereinigt diese vererbten Berechtigungen für NT, indem es die UNIX-Berechtigungsmodi als eine NT-ACL zurückgibt, so wie es eine Datei erhalten würde, die Samba für diese Freigabe erzeugt hat.

Ändern von Datei- oder Verzeichnis-Berechtigungen

Das Ändern von Datei- und Verzeichnis-Berechtigungen ist genauso einfach wie das Ändern der Anzeige der Berechtigungen in der Dialogbox und das Klicken auf OK. Jedoch gibt es Einschränkungen, die ein Benutzer kennen sollte und die mit den Standard-Samba-Berechtigungsmasken und mit dem Vergeben von DOS-Attributen zu tun haben, die ebenfalls in diesem Zusammenhang berücksichtigt werden müssen. Falls der Parameter nt acl support auf false gesetzt ist, schlägt jeder Versuch, Sicherheitsberechtigungen zu setzen, mit einer Meldung „Zugriff verweigert“ fehl.

Das Erste, was anzumerken ist, ist, dass der Button Hinzufügen keine Samba-Benutzerliste zurückgeben wird (es wird eine Fehlermeldung ausgegeben, die besagt „Der Remoteprozedur-Aufruf schlug fehl und konnte nicht ausgeführt werden“). Das bedeutet, dass Sie nur die gegenwärtigen Benutzer/Gruppen/Welt-Berechtigungen, die in der Dialogbox angezeigt werden, ändern können. Dies funktioniert deshalb so gut, weil es die einzigen Berechtigungen sind, die UNIX augenblicklich hat.

Falls ein Berechtigungsdrilling (entweder Benutzer, Gruppe oder Welt) von der Liste der Berechtigungen in der NT-Dialogbox entfernt wird und dann der OK-Button angeklickt wird, wird dies auf UNIX-Seite als keine Berechtigungen angewendet. Wenn Sie sich dann die Berechtigungen nochmals ansehen, wird der Eintrag keine Berechtigungen als das NT-Flag O wie oben beschrieben angezeigt. Dies erlaubt es Ihnen, Berechtigungen wieder auf eine Datei oder Verzeichnis zu setzen, nachdem Sie diese von einer der Drillingskomponenten entfernt hatten.

Weil UNIX nur die Bits r, w und x einer NT-ACL unterstützt, werden diese ignoriert, falls andere NT-Sicherheitsattribute wie Löschzugriff ausgewählt wurden, falls diese auf einem Samba-Server angewandt werden.

Wenn Berechtigungen auf ein Verzeichnis gesetzt werden, wird der zweite Satz an Berechtigungen (im zweiten Klammern-Paar) standardmäßig auf alle Dateien in diesem Verzeichnis angewandt. Falls Sie dies nicht wünschen, müssen Sie die Auswahlbox Berechtigungen auf existierende Dateien zurücksetzen in dem NT-Dialog vor einem Klicken auf OK abwählen.

Falls Sie es wünschen, alle Berechtigungen von einer Benutzer/Gruppe/Welt-Komponente zu entfernen, können Sie entweder eine Komponente auswählen und auf den Button Entfernen klicken, oder setzen Sie die Komponente darauf, nur die spezielle Berechtigung Berechtigung übernehmen (angezeigt als O) zu setzen.

Die Wechselwirkung mit den Samba-Standard-Parametern create mask

Es gibt vier Parameter, die das Wechselspiel mit den Samba-Standard-Parametern create mask kontrollieren. Diese sind:

security mask

force security mode

directory security mask

force directory security mode

Sobald ein Benutzer auf OK klickt, um Berechtigungen zu setzen, mappt Samba die angegebenen Berechtigungen in einen Benutzer/Gruppe/Welt-Drillingssatz und gleicht dann die geänderten Berechtigungen für diese Datei mit den in security mask gesetzten Bits ab. Jedes geänderte Bit, das nicht mit 1 in diesem Parameter gesetzt wurde, bleibt in den Dateiberechtigungen unberücksichtigt. Grundsätzlich werden Null-Bits in der security mask als ein Satz von Bits behandelt, die der Benutzer nicht ändern darf, Einer-Bits darf der Benutzer ändern.

Falls er nicht ausdrücklich gesetzt worden ist, zeigt dieser Parameter standardmäßig auf denselben Wert wie der Parameter create mask. Um es einem Benutzer zu erlauben, alle Berechtigungen von Benutzer/Gruppe/Welt an einer Datei zu ändern, setzen Sie diesen Parameter auf 0777.

Als Nächstes gleicht Samba die geänderten Berechtigungen einer Datei mit den Bits ab, die im force security mode-Parameter gesetzt sind. Jedes geänderte Bit wird passend zu den auf 1 gesetzten Bits in diesem Parameter zwangsläufig gesetzt. Grundsätzlich werden Bits aus dem Parameter force security mode als ein Satz von Bits behandelt, die der Benutzer immer auf „an“ gesetzt hat, wenn die Sicherheit einer Datei geändert wird.

Falls er nicht ausdrücklich gesetzt worden ist, zeigt dieser Parameter standardmäßig auf denselben Wert wie der Parameter force create mode. Um es einem Benutzer zu erlauben, alle Berechtigungen von Benutzer/Gruppe/Welt an einer Datei ohne Berechtigungen zu ändern, setzen Sie diesen Parameter auf 000. Die Parameter security mask und force security mode werden angewendet, um die Anfragen in dieser Reihenfolge zu ändern.

Für ein Verzeichnis wird Samba dieselben Operationen durchführen, wie zuvor für eine Datei beschrieben. Es wird jedoch der Parameter directory security mask anstatt des Parameters security mask und Parameter force directory security mode anstatt des Parameters force security mode angewandt.

Der Parameter directory security mask ist standardmäßig auf denselben Wert wie der Parameter directory mask gesetzt, und der Parameter force directory security mode ist standardmäßig auf denselben Wert wie der Parameter force directory mode gesetzt. Auf diese Weise erzwingt Samba die Einschränkungen bei Berechtigungen, die ein Administrator auf einer Samba-Freigabe gesetzt hat, während den Benutzern weiterhin erlaubt wird, innerhalb dieser Einschränkung die Berechtigungsbits zu ändern.

Falls Sie eine Freigabe aufsetzen möchten, die es Benutzern erlaubt, die volle Kontrolle bei der Änderung von Berechtigungsbits auf ihren eigenen Dateien und Verzeichnissen auszuüben, und die es nicht erfordert, irgendwelche Bits auf „an“ zu verstellen, dann setzen Sie die folgenden Parameter in der smb.conf Datei innerhalb des freigabe-spezifischen Abschnitts:

security mask = 0777 force security mode = 0 directory security mask = 0777 force directory security mode = 0

Die Wechselwirkung mit den Standard-Samba-Dateiattribut-Vergaben

Hinweis: Samba vergibt einige der DOS-Attribut-Bits (wie z.B. Nur lesen) in den UNIX-Berechtigungen einer Datei. Dies bedeutet, dass es einen Konflikt zwischen den Berechtigungsbits, die durch den Sicherheitsdialog gesetzt wurden, und den Berechtigungen geben kann, die durch die Vergabe von Dateiattributen gesetzt wurden.

Falls eine Datei für den Eigentümer keinen UNIX-Lesezugriff hat, wird diese als „Nur lesen“ in dem Standarddialog der Registerkarte Dateiattribute angezeigt. Leider ist dieser Dialog derselbe, der die Sicherheitsinformationen in einer anderen Registerkarte enthält.

Der Eigentümer kann dadurch fälschlicherweise glauben, die Berechtigungen dadurch ändern zu können, weil es ihm anscheinend erlaubt wird, Lesezugriff durch Nutzung des Sicherheitsdialoges zu bekommen; er klickt auf OK, um zurück zu der Registerkarte mit den Standardattributen zu gelangen, klickt auf OK in diesem Dialog, und NT setzt die Dateiberechtigungen auf Nur-lesen zurück (weil dies die Attribute in diesem Dialog ihm sagen). Dies bedeutet: Klicken Sie - nachdem Sie die Berechtigungen gesetzt und auf OK zum Zurückgehen auf den Attributdialog geklickt haben - immer auf Abbrechen statt auf OK, um sicherzustellen, dass Ihre Änderungen nicht überschrieben werden.

Gängige Fehler

Datei-, Verzeichnis- und Freigabezugriffsprobleme tauchen häufig auf der Mailingliste auf. Die folgenden Beispiele wurden in letzter Zeit in der Mailingliste behandelt.

Benutzer können nicht auf eine öffentliche Freigabe schreiben

Wir haben einige Schwierigkeiten mit Datei/Verzeichnis-Berechtigungen. Ich kann mich als Admin-User (root) an einer Domäne anmelden, und es gibt eine öffentliche Freigabe, auf der jeder die Berechtigung zum Erzeugen und Ändern von Dateien haben sollte, aber nur root kann Dateien ändern, sonst niemand. Wir müssen dauernd auf dem Server chgrp -R users * und chown -R nobody * eingeben, um den anderen Benutzern das Ändern von Dateien zu erlauben. Es gibt viele Möglichkeiten, dieses Problem zu lösen, und hier sind ein paar Hinweise:

Gehen Sie auf die oberste Ebene des Verzeichnisses, das freigegeben ist. Setzen Sie die Benutzer und Gruppe als Eigentümer auf das, was öffentlich sein soll:

$find 'directory_name' -type d -exec chown user.group {}\; $find 'directory_name' -type d -exec chmod 6775 'directory_name' $find 'directory_name' -type f -exec chmod 0775 {} \; $find 'directory_name' -type f -exec chown user.group {}\;

Das oben Aufgeführte setzt das Sticky-Bit auf alle Verzeichnisse. Lesen Sie in Ihren UNIX/Linux-Manpages nach, was dies bewirkt. Es veranlasst das Betriebssystem, auf alle Dateien in Ihren Verzeichnissen den Eigentümer des Verzeichnisses zu setzen. Das Verzeichnis heißt: /foobar

$chown jack.engr /foobar

Dies ist dasselbe wie:

$chown jack /foobar $chgrp engr /foobar

Geben Sie jetzt Folgendes ein:

$chmod 6775 /foobar $ls -al /foobar/..

Dann sollten Sie dies sehen:

drwsrwsr-x 2 jack engr 48 2003-02-04 09:55 foobar

Geben Sie jetzt dies ein:

$su - jill $cd /foobar $touch Afile $ls -al

Sie sollten nun sehen, dass die Datei Afile, die von Jill erzeugt worden ist, die Eigentumsrechte und Berechtigungen von Jack hat, so wie hier:

-rw-r--r-- 1 jack engr 0 2003-02-04 09:57 Afile

Fügen Sie jetzt in Ihrer smb.conf für die Freigabe Folgendes ein:

force create mode=0775 force directory mode=6775

Diese Maßnahmen werden nur dann gebraucht, wenn Ihre Benutzer nicht Mitglied der Gruppe sind, die Sie benutzt haben. Das ist dann der Fall, wenn Sie innerhalb des Betriebssystems keine Schreibberechtigung auf das Verzeichnis haben. Eine Alternative ist es, in der smb.conf diesen Eintrag für die Freigabe zu setzen:

force user=jack force group=engr

Dateioperationen, die als root mit force user ausgeführt wurden

Wenn Sie einen Benutzer in admin users haben, wird Samba für diesen Benutzer Dateioperationen immer als root ausführen, sogar wenn force user gesetzt wurde.

MS Word mit Samba ändert den Eigentümer einer Datei

Wenn Benutzer B ein Word-Dokument abspeichert, das Benutzer A gehört, ist anschließend der Eigentümer der aktualisierten Datei Benutzer B. Warum macht Samba das? Wie kann ich das beheben?

Word macht Folgendes, wenn Sie ein Word-Dokument ändern: Es erzeugt ein NEUES Dokument mit einem temporären Namen. Word schließt dann das alte Dokument und löscht es. Dann benennt Word das neue Dokument in den Original-Dateinamen um. Es gibt keinen Mechanismus, durch den Samba in irgendeiner Weise wissen kann, dass das neue Dokument wirklich dem Eigentümer der Originaldatei gehören sollte. Samba hat keine Möglichkeit zu erfahren, dass MS Word die Datei umbenannt hat. Samba ist nur in der Lage zu sagen, dass die Datei, die erzeugt wurde, eine NEUE Datei ist, aber nicht, dass die Applikation (Word) diese aktualisiert hat.

Es gibt einen Workaround, um diese Berechtigungsprobleme zu lösen. Dieser Workaround setzt voraus, dass Sie verstehen, wie Sie das Verhalten des Dateisystems innerhalb der Datei smb.conf steuern können, und wissen, wie ein UNIX-Dateisystem funktioniert. Setzen Sie chmod g+s directory_name auf das Verzeichnis, in dem Sie Word-Dokumente ändern möchten. Dies stellt sicher, dass alle Dateien mit der Gruppe erzeugt werden, der das Verzeichnis gehört. In dem Abschnitt in der smb.conf, der die Freigabe deklariert, setzen Sie:

force create mode=0660 force directory mode=0770

Diese beiden Einstellungen stellen sicher, dass alle Verzeichnisse und Dateien, die in der Freigabe erzeugt werden, durch den Eigentümer und die Gruppe les- und schreibbar sind, die auf das Verzeichnis selbst gesetzt sind.

© www.tecCHANNEL.de


**
In diesem Beitrag
Grundlagen zu Routing und Subnetzbildung, Teil 1
Grundlagen zu Routing und Subnetzbildung, Teil 2
Grundlagen zu Routing und Subnetzbildung, Teil 3
Einführung in VLANs, Teil 1
Einführung in VLANs, Teil 2
Konfiguration und Betrieb eines Nameservers, Teil 1
Konfiguration und Betrieb eines Nameservers, Teil 2
Konfiguration und Betrieb eines Nameservers, Teil 3
LDAP, Teil 1
LDAP, Teil 2
LDAP, Teil 3
Katastrophenszenarien bei Active Directory - Teil 1
Katastrophenszenarien bei Active Directory - Teil 2
Katastrophenszenarien bei Active Directory - Teil 3
Katastrophenszenarien bei Active Directory - Teil 4
Katastrophenszenarien bei Active Directory - Teil 5
Zugriffskontrolle bei Samba und *nix - Teil 1
Zugriffskontrolle bei Samba und *nix - Teil 2
**