Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Nach Samba-Update Zugriffsprobleme

2 views
Skip to first unread message

Stephan Seitz

unread,
Nov 17, 2009, 7:57:37 AM11/17/09
to
Hallo, zusammen!

Gestern habe ich einen Server von Debian Etch (Samba 3.0) auf Debian
Lenny (Samba 3.2.5) aktualisiert. Jetzt habe ich Problem mit dem
Zugriff auf bestimmte Shares.

Der Server ist Mitglied einer Windows-Domᅵne, also kein
Domᅵnen-Controller.

Die Zugriffsrechte fᅵr eine Share lautet "valid users =
+ADS\projekte", im Dateisystem besitzt das Verzeichnis die Eigentᅵmer
"root:projekte" mit Zugriffsrechten 2770.

Das Anmelden am Server funktioniert, nur der Zugriff auf das
Verzeichnis ist nicht mᅵglich (chdir (/share/samba/projekte)
failed). ᅵndere ich die Zugriffsrechte auf 2775, so habe ich Zugriff
auf das Verzeichnis, aber habe keine Schreibrechte.

Der sich anmeldende Benutzer ist natᅵrlich Mitglied der Gruppe
projekte. Ein direkter Zugriff auf die Share via SSH ist mᅵglich.

ᅵndere ich die die Gruppe der Share auf die Hauptgruppe des Benutzers,
funktioniert alles auch mit 2770.

Weiᅵ einer, woran das liegen kᅵnnte?

Shade and sweet water!

Stephan

--
| Stephan Seitz E-Mail: stse+...@fsing.rootsland.net |
| PGP Public Keys: http://fsing.rootsland.net/~stse/pgp.html |

Uwe Kielgas

unread,
Nov 19, 2009, 7:28:14 AM11/19/09
to
Am Tue, 17 Nov 2009 12:57:37 +0000 schrieb Stephan Seitz:

> Hallo, zusammen!
>
> Gestern habe ich einen Server von Debian Etch (Samba 3.0) auf Debian
> Lenny (Samba 3.2.5) aktualisiert. Jetzt habe ich Problem mit dem Zugriff
> auf bestimmte Shares.
>

> Der Server ist Mitglied einer Windows-Domäne, also kein
> Domänen-Controller.
>
> Die Zugriffsrechte für eine Share lautet "valid users = +ADS\projekte",
> im Dateisystem besitzt das Verzeichnis die Eigentümer "root:projekte"


> mit Zugriffsrechten 2770.
>
> Das Anmelden am Server funktioniert, nur der Zugriff auf das Verzeichnis

> ist nicht möglich (chdir (/share/samba/projekte) failed). Ändere ich die


> Zugriffsrechte auf 2775, so habe ich Zugriff auf das Verzeichnis, aber
> habe keine Schreibrechte.
>

> Der sich anmeldende Benutzer ist natürlich Mitglied der Gruppe projekte.
> Ein direkter Zugriff auf die Share via SSH ist möglich.
>
> Ändere ich die die Gruppe der Share auf die Hauptgruppe des Benutzers,


> funktioniert alles auch mit 2770.
>

> Weiß einer, woran das liegen könnte?


>
> Shade and sweet water!
>
> Stephan

Hallo,

wenn Du die Rechte auf 775 setzt, kann der User natürlich auf das share
zugreifen, da ja others(also Alle) Lese- und Zugriffsrechte bekommen
haben, aber keine Schreibrechte: rwx,rwx,rx.

Ist die Eigentümergruppe die Hauptgruppe des Benutzers ist der Zugriff
natürlich auch möglich, da ja diese Gruppe immer von dem Benutzer
mitgezogen wird.

Dein Problem sind höchstwahrscheinlich widersprechende Zugriffsrechte
Samba(Domain)/Unix.

Ich würde mal den Eintrag valid users = +ADS/projekte auf valid users =
@projekte ändern und wenn das nicht hilft, diesen Eintrag testweise
herausnehmen, unberechtigte Zugriffe werden ja sowieso von den
Unixrechten verhindert.

Gruß Uwe

Stephan Seitz

unread,
Dec 11, 2009, 9:35:37 AM12/11/09
to
Uwe Kielgas <fo...@kielgas.de> wrote:
> wenn Du die Rechte auf 775 setzt, kann der User natᅵrlich auf das share
> zugreifen, da ja others(also Alle) Lese- und Zugriffsrechte bekommen
> haben, aber keine Schreibrechte: rwx,rwx,rx.

Schon klar.

> Ist die Eigentᅵmergruppe die Hauptgruppe des Benutzers ist der Zugriff
> natᅵrlich auch mᅵglich, da ja diese Gruppe immer von dem Benutzer
> mitgezogen wird.

Genau. Und frᅵher ging das auch, wenn die Eigentᅵmergruppe eine
Nebengruppe des Benutzers war.

> Dein Problem sind hᅵchstwahrscheinlich widersprechende Zugriffsrechte
> Samba(Domain)/Unix.

Hm, glaube ich nicht, denn an denen hat sich, genau wie an der
Konfigurationsdatei, nichts geᅵndert.

Ich bin aber nicht alleine:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=535910

> herausnehmen, unberechtigte Zugriffe werden ja sowieso von den
> Unixrechten verhindert.

Neh, im Moment werden die Zugriffe nur durch die
Samba-Authentifizierung kontrolliert, da die Dateisystemrechte durch
das Gruppenproblem weiter gefaᅵt sind als eigentlich nᅵtig wᅵre.

Shade and sweet water!

Stephan

--
| Stephan Seitz E-Mail: st...@fsing.rootsland.net |

0 new messages