«
»

Fallstricke mit Samba

Bei der Einrichtung eines kleinen Netzwerkes bin ich über so manche Fallstricke gestolpert. Einige davon trifft man immer und immer wieder, weil man schlichtweg vergisst, was man beim letzten mal gedreht hat, dass es dann doch noch lief. Andere aber treffen einen zum ersten mal und kosten jede Menge Nerven und vor allem Zeit.

Kurze Bestandsaufnahme:

  • Server mit Ubuntu 8.04 LTS Server Edition
  • 4-5 Clients
  • 2 Drucker
  • ca. 10 User in 5 Benutzergruppen

Ziele:

  • zentrale Datenablage auf Server
  • Benutzerauthentifizierung über Domäne
  • Berechtigungssteuerung / Zugriff auf Daten nach Gruppenzugehörigkeit

Da mir die Einrichtung von OpenLDAP bei der überschaubaren Größe des Netzwerks widerstrebt soll die komplette Benutzersteuerung über SAMBA bzw. über Linux Rechte geregelt werden. Der Aufwand nach der einmaligen Einrichtung geht gegen 0, daher ist das durchaus zu vertreten. Daher folgende Konfiguration:

Für jedes unter Windows verfügbare Netzlaufwerk wir ein Verzeichnis angelegt:

-rwxrwx---  root:grpgroup1 /data/drives/group1
-rwxrwx---  root:grpgroup2 /data/drives/group2
-rwxrwx---  root:grpgroup* /data/drives/group*

In Samba werden alle Services mit den folgenden Parametern angelegt:

force group    = group*
create mask    = 0660
directory mask = 0770
valid user     = @group*

Die Benutzer sind jeweils Mitglied der für sie erlaubten Gruppen:

cat /etc/group | grep group

user1:x:group1,group2
user2:x:group2
user3:x:group1
...

Das ganze funktionierte auch hervorragend…. zumindest bis ein böser User versucht hat einen neuen Ordner im “root” des Netzlaufwerkes, also unter Windows direkt unter “K:” – oder was auch immer – anzulegen. Den Ordner anzulegen war auch nicht das Problem, solange man nicht versucht hat den Ordner dabei umzubenennen, d.h. es war schlichtweg nicht möglich einen Ordner anzulegen, der anders hies als “Neuer Ordner” oder “Neuer Ordner (2)”.

Lustigerweise konnte man in diesem Ordner alles tun und lassen was man wollte. Alles funktionierte einwandfrei. Auch löschen des Ordners, kein Problem. Umbenennen, Nein!

Die einzige Lösung die ich – auch nach langem googlen – gefunden habe, war es die Rechte der Ordner nicht auf 770, sondern leider gottes auf 777 zu setzen. Das ist rein theoretisch nicht dramatisch, da die “valid user” Klausel unter Samba den Zugriff für Fremde auf das Share dennoch verbietet. Aber wirklich schön finde ich die Lösung nicht und leider bin ich mir auch nicht sicher, ob dieses Problem auf ein Fehler in SAMBA zurückzuführen ist, oder ein “erwartetes Verhalten” von Windows darstellt.


Links:

Tags:  ,

Schlagworte: ,

Dieser Beitrag wurde vor am Mittwoch, 2. Juli 2008 um 14:14 Uhr veröffentlicht und unter Ubuntu gespeichert. Sie können Kommentare zu diesem Eintrag über den RSS-2.0-Feed verfolgen. Sie können einen Kommentar hinterlassen oder einen Trackback von Ihrer Website hierher setzen.

1 Kommentar zu „Fallstricke mit Samba“

  1. print-drucker » Blog Archive » Re: OT: was bedeutet Postscript fähiger Drucker??? - Acrobat 6 im Laden, neue Reader zum Down… sagt:
    21. Juli 2008 um 07:02

    [...] Ghostscript wurde genau zu dem Zweck erfunden: damit man Postscript-Dateien auch auf einem Nadeldrucker oder sonstigen Ausgabegerät (z.B. Bildschirm, mit GhostView als Frontend) ausgeben kann. [...]

    Antworten

Kommentieren