Problem mit Samba-Rechte

Antworten
Nachricht
Autor
dime

Problem mit Samba-Rechte

#1 Beitrag von dime » 05. Mär 2006 22:43

Hallo,

ich betreibe seit einigen Jahren in meinem Netzwerk einen Samba-Server (zur Zeit Version 3.0.7). Auf dem Server gibt es 3 Benutzer - benutzer1 - 3. Alle drei gehören der Gruppe WIN an. Jeder Benutzer darf alles, also habe ich in der Freigabe die Rechte auf 0770 gestellt. Läuft alles sehr gut.
Nun soll ich für einen Bekannten einen Server einrichten und habe bei mir eine Share "TEST" angelegt. Dort hab ich die create- und directory mask auf 0750 gesetzt. Nun schreibt "benutzer1" eine Datei "egal.doc" ins Verzeichnis TEST. Ich sehe mir die UNIX-Rechte auf dem Server an und diese sind für "egal.doc" auf 750 gesetzt. Die Datei gehört "benutzer1" aus der Gruppe WIN. Alles wunderbar. Jetzt kann "benutzer2" die Datei aber von einem anderen Rechner aus löschen. Die Rechte sagen mir doch aber, dass die Gruppe WIN nur lesen und ausführen darf.

Kann mir jemand sagen, was ich falsch mache?

Hier meine TEST-Share aus der smb.conf.

[Test]
comment = Test
path = /raid/test
valid users = benutzer1, benutzer2, benutzer3
read only = No
# read list = @win
# write list = @win
create mask = 750
force create mode = 750
directory mask = 750
force directory mode = 750
browseable = Yes

(ohne die beiden # hat's auch nicht funktioniert)

rattenkind

#2 Beitrag von rattenkind » 06. Mär 2006 23:20

schatze mal, die security steht in der global section auf share und nicht auf user.

ratte

dime

#3 Beitrag von dime » 07. Mär 2006 9:57

Nein, das ist es nicht. Die Security steht auf USER.

Und wenn die Unix-Rechte nur dem Besitzer Schreibrechte geben, dann darf doch auch nur der Besitzer die Datei löschen, egal was ich in die smb.conf schreibe. Oder mach' ich einen Denkfehler?

dime

Benutzeravatar
Janka
Beiträge: 3585
Registriert: 11. Feb 2006 19:10

Re: Problem mit Samba-Rechte

#4 Beitrag von Janka » 07. Mär 2006 15:41

dime hat geschrieben:Die Rechte sagen mir doch aber, dass die Gruppe WIN nur lesen und ausführen darf.
Löschen von Dateien ist Veränderung des Verzeichnisses. Hat ein Benutzer Schreibrechte auf ein Verzeichnis, kann er auch Dateien da drin löschen. Ausnahme sind Verzeichnisse mit sticky-Bit

Code: Alles auswählen

# chmod a+t Verzeichnis
, da darf nur der Benutzer löschen, dem die Datei gehört.

Janka

dime

#5 Beitrag von dime » 07. Mär 2006 20:54

Na, da hab' ich wohl etwas grundsätzlich falsch verstanden. :idea: Mir ist das natürlich noch nie aufgefallen, weil bei mir alle Benutzer alles dürfen.
Nun muß ich mir bei meinem Kollegen was anderes einfallen lassen.

Vielen Dank für die Hilfe.

dime

Benutzeravatar
Janka
Beiträge: 3585
Registriert: 11. Feb 2006 19:10

#6 Beitrag von Janka » 08. Mär 2006 11:36

dime hat geschrieben:Na, da hab' ich wohl etwas grundsätzlich falsch verstanden. :idea: Mir ist das natürlich noch nie aufgefallen, weil bei mir alle Benutzer alles dürfen.
Nun muß ich mir bei meinem Kollegen was anderes einfallen lassen.
Du kannst für die Austauschshare "force directory mask = 1755" oder ähnlich vorgeben, dann wird das Sticky-Bit beim Erzeugen von Verzeichnissen über Samba in dieser Schare mitgesetzt. Im Share-Verzeichnis selbst setzt du das sticky-Bit einmal von Hand. Fertig.

Janka

Benutzeravatar
Janka
Beiträge: 3585
Registriert: 11. Feb 2006 19:10

#7 Beitrag von Janka » 08. Mär 2006 11:41

Janka hat geschrieben:
dime hat geschrieben:Na, da hab' ich wohl etwas grundsätzlich falsch verstanden. :idea: Mir ist das natürlich noch nie aufgefallen, weil bei mir alle Benutzer alles dürfen.
Nun muß ich mir bei meinem Kollegen was anderes einfallen lassen.
Du kannst für die Austauschshare "force directory mask = 1755" oder ähnlich vorgeben, dann wird das Sticky-Bit beim Erzeugen von Verzeichnissen über Samba in dieser Schare mitgesetzt. Im Share-Verzeichnis selbst setzt du das sticky-Bit einmal von Hand. Fertig.
Muss mich korrigieren. Klappt zumindest hier leider nicht. Mal gucken, warum.

Janka

dime

#8 Beitrag von dime » 08. Mär 2006 16:58

Ich versuche mal zu erklären, was ich genau machen will.
Es gibt eine Freigabe, sagen wir UPLOAD. Dann gibt es 3 Benutzer, die dort Dateien ablegen dürfen. Alle Drei dürfen lesen aber nicht die Dateien der anderen Benutzer löschen. (Würde ja mit dem Sticky-Bit gehen).
Nun soll es einen 4. Benutzer geben, der die Dateien aller Benutzer lesen, löschen usw. darf. Ich kann natürlich noch für jeden Benutzer ein Unterverzeichnis erstellen. Aber das wollte ich möglichst nicht. Habt ihr noch ne andere Idee?

dime

Antworten