Samba: Rechte beim Erstellen von Dateien

[benediktibk]

Ich kämpfe gerade mit einer Samba-Freigabe in der, wenn der Benutzer capouser Dateien erstellt, diese mit den falschen Rechten erstellt werden. Soll bedeuten: Die Datei kann zwar erstellt aber danach nicht mehr beschrieben, gelöscht oder whatever werden. (es geht um die letzte Zeile)

root@123meins:/mnt/Bernadette/20110624# ls -l
total 208
drwx------  2 capouser samba   4096 2011-06-24 20:52 desktop
drwx------ 21 capouser samba   4096 2011-06-27 20:03 Documents
drwx------  7 capouser samba   4096 2011-06-24 20:58 Pictures
-rwx------  1 capouser samba 174077 2011-01-18 15:58 Rechnung Nr 111067.pdf
-r-x------  1 capouser samba  22731 2011-06-27 16:11 unterlagennichtwiss.pdf

Gemäß Samba-Konfiguration sollte es aber 0700 sein:

[Bernadette]
path = /mnt/Bernadette
available = yes
browseable = yes
writeable = no
write list = capouser
create mode = 0700
directory mode = 0700
force group = samba
force user = capouser

Die Gruppe sollte dabei eigentlich keine Auswirkung haben, würde aber auch passen:

root@123meins:/mnt/Bernadette/20110624# less /etc/group | grep samba
sambashare:x:116:
samba:x:1001:benediktibk,capouser,gast,guenther

Lustigerweise funktioniert die Freigabe eines anderen Benutzers einwandfrei. Der einzige Unterschied besteht darin, das ich in der sudo-Gruppe dabei bin. Dürfte aber der Logik nach ebenfalls keinen Einfluss der Gruppe haben.

[Benedikt]
path = /mnt/Benedikt
available = yes
browseable = yes
writable = no
write list = benediktibk
create mode = 0700
directory mode = 0700
force group = samba
force user = benediktibk

Weiß jemand wo der Hund begraben liegt?

mfg benediktibk

 

[Brabax]

Erstellt der User denn von Windows-Clients aus oder von Linux-Clients?
Damit hatte ich nämlich auch mal zu kämpfen, als Windows-User die Files erstellt haben. Ich habe nur gerade die Lösung nicht parat *KopfKratz*

lG

 

[benediktibk]

Dann bräuchte ich wahrscheinlich die Lösung, die du gerade nicht parat hast. :wink:
Das Problem tritt auf jeden Fall dann auf, wenn es ein Windows-Client (Windows 7) ist. Scheint aber kein K.O.-Kriterium zu sein, wenn ich mit meinem Benutzer auf den Server zugreife, wahlweise Windows oder Linux, hatte ich noch nie ein Problem.

mfg benediktibk

 

[benediktibk]

ein kleiner Schubs nach oben

 

[Brabax]

Mein Gedächtnis, ein Sieb

Ich hatte zunächst eine Version ohne Domäne, wo jeder User die Sambafreigabe mit dem selben Benutzer gemountet hatte.

Die zweite Version war in die Domäne integriert und der Besitzer der Ordner war neben den lokalen Usern auch die entsprechende Gruppe in der AD, wo dann die entsprechenden User lagen (via ACL eingestellt).
Es gab insgesamt 2 Gruppen:
(1) Samba lesen
(2) Samba schreiben

Die die schreiben durften, waren Ordnerbesitzer und durften somit die "fremden" Dateien bearbeiten.

Ich glaube, dass es mit dieser Konstellation funktionierte. Wenn ich morgen auf Arbeit bin, schau ich mal, ob ich die Samba-Config finde und werde mal die ACL abschreiben.

lG

 

[Brabax]

Hier ist die genaue Config:

Ordner

getfacl: 

# file: FREIGABE
# owner: LOAKALER_USER
# group: LOKALE_GRUPPE
user::rwx
group::rwx
group:FIRMA\SAMBA_GRUPPE:rwx
mask::rwx
other::---

getfacl:
# file: FREIGABE_UNTERORDNER
# owner: LOKALER_USER
# group: LOKALE_GRUPPE
user::rwx
group::rwx
group:FIRMA\SAMBA_GRUPPE:rwx
mask::rwx
other::---

Und hier die smb.cfg

[global]
        security = ads
        realm = FIRMA.LOCAL
        password server = IP_DC, IP_DC

        #workgroup = short domain name
        workgroup = FIRMA

        idmap uid = 10000-20000
        idmap gid = 10000-20000

        winbind enum users = yes
        winbind enum groups = yes
        template homedir = /home/%D/%U
        template shell = /bin/bash
        client use spnego = yes
        client ntlmv2 auth = yes
        encrypt passwords = true
        restrict anonymous = 2
        winbind refresh tickets = yes

[FREIGABE]
        comment = Freigabekommentar
        path = /PFAD/ZUM/SHARE
        read only = no
        guest ok = no
        browseable = yes
        dos filemode = yes
        writeable = yes
        security mask = 0777
        writeable = yes
        security mask = 0777
        create mask = 0777
        directory mask = 0777

lG