Erweiterte Samba-Rechte, gültige Benutzer/Gruppen

UCS 3.2-2 errata 128

Hallo allerseits,
ich teste gerade die Samba-Freigaben des UCS. Unter den erweiterten Einstellungen kann man “Gültige Benutzer oder Gruppen” eintragen, denen der Zugriff auf die Freigabe gewährt werden soll. Diesem Feld habe ich eine Gruppe mit @s_MAX hinzugefügt. Diese Gruppe enthält als Mitglieder meinen Benutzer und die Gruppe “Domain Users”. D.h. jeder in der Domain (und insb ich) soll auf diese Freigabe zugreifen können. Tatsächlich verweigert der Windows-PC die Verbindung zu dieser Freigabe.
Sobald ich als “Gültigen Benutzer…” meinen Benutzer oder @“Domain Users” ergänze, klappt die Verbindung zur Freigabe sofort.

Was ist da los?

Gruß,
Peter

Hallo,

meine Vermutung geht dahin, daß der Gruppe s_MAX zwar der Zugriff gewährt wird, aber da sie nicht im Besitz des Verzeichnisses ist, dort nicht schreiben darf. Setzt man im ersten Reiter “Allgemein” die Gruppe s_MAX als Besitzer und erlaubt der Gruppe das Schreiben, kann sie in der Freigabe auch Dateien erstellen.

Viele Grüße
Ulf Friedel

Jetzt, ein Tag später, funktioniert es - scheinbar…

Da ich die Benutzergruppe extra für diese Freigabe kurz vorher angelegt hatte, vermute ich, dass die Information welche Mitglieder die Gruppe s_MAX enthält, nicht sofort zur Verfügung steht. Inzwischen habe ich alle Mitglieder (Benutzer und Gruppen) aus s_MAX entfernt, aber der Zugriff auf die Freigabe besteht weiterhin.
Insofern glaube ich, dass es diese Verzögerung beim Durchsetzen von Änderungen in Gruppenmitgliedschaften gibt, so dass sie sich auf Freigaben auswirken.

Übrigens, Besitzer des Verzeichnisses mit rwx ist die Gruppe s_MAX.

Hallo,

ich würde vermuten, daß die Verzögerung evtl. mit der Synchronisation zwischen LDAP und Samba zusammenhängen könnte.

Viele Grüße
Ulf Friedel

Kann ich das manuell anstoßen?

Könnte es sein, dass dieser Artikel AD-Synchronisation erneut durchführen mir da weiterhilft?

Hallo,

[quote=“passt”]Könnte es sein, dass dieser Artikel AD-Synchronisation erneut durchführen mir da weiterhilft?[/quote]dieser Artikel bezieht sich auf den AD-Connector und ist daher in Ihrem Fall vermutlich nicht hilfreich.

Wenn Sie das eigentliche Problem untersuchen möchten, würde ich zuerst lokal auf dem Samba-Server prüfen wie schnell ein Benutzer Mitglied der Gruppe “wird” wenn Sie diesen in der UMC hinzufügen. Normalerweise sollte dies unmittelbar geschehen:

id <Benutzername> kinit Administrator net ads user info <Benutzername> #bei Samba4 net rpc user info -UAdministrator <Benutzername> #bei Samba3

Mit freundlichen Grüßen
Janis Meybohm

Moin moin,
ich muss dieses Thema mal ausgraben.

Ich verzweifel momentan etwas. Ich habe Freigaben erstellt, dort in die Erweiterten Einstellungen unter Schreibberechtigung (und auch bei Gültige Benutzer/Gruppen) eine @Gruppe eingetragen.
Gehe ich nun mit einem User aus der Gruppe in das Verzeichnis, kann ich zwar lesen, aber nicht schreiben; Fehlermeldung: Zugriff verweigert.
Melde ich m ich beim Clienten als Administrator an und vergebe manuell Leserechte für die Gruppe auf die Freigabe, dann funktioniert alles.

Ich nehme an das mein Problem das selbe ist wie beim Threadersteller, gibt es hierzu Meinungen oder eine Lösung?

Hallo,

Schreiben auf der Dateisystemebene wird zuerst von den Eigenschaften auf der Seite “Allgemein” bestimmt:
[ul]
[li] Welcher Gruppe gehört das Verzeichnis?[/li]
[li] Ist das Attribut “Gruppe darf schreiben” gesetzt?[/li][/ul]
Für die Gruppenberechtigungen auf der Samba-Ebene sind viele Einstellungen nötig; einige bestimmen nur die Erlaubnis zum Zugreifen (sich anmelden) überhaupt, andere bestimmen, was man darf, wenn man angemeldet ist. Überprüfenswert sind:
[ul]
[li] “Gültige Gruppen”: dies erlaubt nur, daß man sich an die Freigabe anmelden darf. Hat also fürs Schreibrecht keine Relevanz, aber wenn hier was falsches drin steht, kommt man gar nicht rein.[/li]
[li] “Erzwungene Gruppe”: hier bestimmt man, als Mitglied welcher Gruppe der zugreifende Benutzer betrachtet werden soll (ein Nutzer gehört ja für gewöhnlich mehreren Gruppen an). Wenn dies die gleiche Gruppe ist, der das Verzeichnis gehört, und das Attribut “Gruppe darf schreiben” gesetzt ist, sollte dann das Schreiben funktionieren.[/li][/ul]
Welche Identität am Ende herauskommt, kann man sehen, indem man auf dem Server, der die Freigabe bereitstellt, das Kommando

smbstatus

aufruft, während der betreffende Benutzer die Freigabe im Windows-Explorer geöffnet hat. Da steht auch die Gruppe dabei, unter der ein Nutzer angemeldet ist.

viele Grüße
Frank Greif.

Mastodon